数百万人の顧客情報が漏洩

公安部は、顧客情報を漏洩したテクノロジー企業や、漏洩した乗客情報を利用し、SMSメッセージでサービスを勧誘したタクシーサービス仲介会社が相次いでいると指摘した。公安部はまた、個人情報の漏洩や売買の現状は日常的かつ公然としており、ますます複雑になっていると述べた。さらに深刻なのは、データの多くがサイバースペース上で長期間にわたり大量に公開販売されてきたことだ。売買は個人間で個別に行われるだけでなく、企業、組織、事業体の参加も伴います。

2018年には、 Thegioididong.comの情報が漏洩し、ハッカーが電子メール アドレス、取引履歴、さらにはカード番号などの重要な情報を入手したという情報がテクノロジー フォーラムで報告され、何百万人もの顧客が不安に陥りました。 Gioi Di Dong は直ちにプレスリリースを発表し、これは偽情報であり、システムは依然として安全で、正常に動作しており、まったく影響を受けていないことを確認しました。それから、すべてが徐々に静かになっていきました。

2018年4月、 VNGは1億6000万件のZing IDアカウントが漏洩の危険にさらされており、同社のゲーム顧客基盤の一部に影響を及ぼす可能性があると記録した。同社は、技術的な手段を通じて、事件への対応、侵入の防止、事件の影響を受けるユーザーの数の制限など、速やかに対策を講じたと述べた。しかし、VNGは多数のユーザーの情報が漏洩したことを認めたものの、「今回の事件で実際に影響を受けたユーザーの範囲は広くなく、ゲーム顧客に集中しており、他のVNG製品には影響しない」と述べ、顧客の権利と安全を常に確保し、顧客に生じる問題を徹底的に解決することを約束した。

アテナサイバーセキュリティセンターのヴォ・ド・タン氏によると、公安省が言及したような具体的なケースでは、企業のシステムが攻撃されたのか、企業の従業員がデータを盗んで公開したのかを調べるための調査が必要だという。しかし、理由が何であれ、データが漏洩するということは、会社のシステムに脆弱性があることを意味します。ここでの脆弱性は技術的なものでも人的なものでもかまいません。したがって、ネットワークのセキュリティと安全性全般の確保、または顧客の個人データの保護は、怠ることなく、24時間365日、定期的に監視および実施する必要があります。ハッカーはいつでも攻撃する可能性があるため、自分のシステムが常に安全であると断言できる人は誰もいないからです。言うまでもなく、自社の従業員が顧客データを盗み出して社外に販売しているという状況もあります...

世界には重い罰則があるが、ベトナムには制裁がほとんどない。

最近、顧客情報が漏洩する事件が相次いでいるが、処罰や制裁を受けた部署はほとんどない。一方、世界各国ではこのような行為を厳しく罰しています。たとえば、2019年7月、米国連邦取引委員会は、このソーシャルネットワークのユーザー8,700万人の個人データがケンブリッジ・アナリティカによって不正にアクセスされ、使用されたことを受けて、Facebookに50億ドルの罰金を科すことを決定しました。捜査によると、フェイスブックは2016年の大統領選挙運動中や英国のEU離脱を問う国民投票中に、メディア企業ケンブリッジ・アナリティカが米国のユーザー5000万人のデータに不正にアクセスすることを許可していた。これは、ユーザーデータを漏洩したスキャンダルに対する罰金としては史上世界最大となる。

ベトナムでは、情報の漏洩や開示に対する罰則に関する規制が数多くあります。現在、サイバーセキュリティ分野における違反に対する行政罰を規定する政令案（協議中で政府の公布を待っている）では、個人データ保護に関する規制に違反した組織に対する最大罰則は、ベトナムにおける2回目以降の違反に対して、前会計年度の総収入の最大5％の罰金であると規定されている。同時に、1～3か月間、個人データを収集する必要がある業種の営業許可を取り消すという追加の罰則が科される可能性があります。

ベトナムサイバーセキュリティテクノロジー社のテクニカルディレクター、ヴー・ゴック・ソン氏は、これまでは個人情報保護に関する詳細な規制がなかったため、法律に違反した企業や組織は行政罰の対象になるのみだと語った。したがって、次期法案で提案されている総収入の最大5％の罰金はベトナムに適しており、各部門が顧客データの保護にさらに大きな責任を負うための抑止力として機能する。しかし、孫氏によれば、この罰金は世界に比べればまだ高くないという。多くの国では、ほとんどの罰則は各違反の影響の規模に基づいて評価されるからです。例えば、たとえ小規模な企業による違反であっても、多数のユーザーに重大な影響を与える場合、罰金は依然として非常に高額になります。 「ベトナムでは、個人情報漏洩の個々の事例の影響を評価する尺度がまだ確立されていないため、収益に基づく罰金を提案するのは当然のことです。これは、人々の個人データを管理・保護するプロセスにおける新たな前進となるでしょう」と、ヴー・ゴック・ソン氏は述べた。

ヴォ・ド・タン氏もこれに同意し、顧客の個人情報を保護する行為に対する具体的かつ公的な行政罰に関するより詳細な規制を設けることで、企業はネットワークセキュリティシステムを見直さざるを得なくなるだろうとコメントした。顧客情報の機密性を確保するために、技術リソースと人的リソースの両方に対して定期的な評価と監視のプロセスが存在します。これは、オフィスビルや混雑した場所における火災安全を確保するための規制に似ています。国家管理機関も検査や監督を強化し、違反企業を厳しく処罰する必要がある。初回はメディアで公表される可能性があります。 2 回目の違反には、対応する行政罰が科せられ、その後、企業がネットワーク セキュリティ システムを強化できるように、一定期間サービスが停止される可能性があります。