DLPシステムに関連するセキュリティリスクは何ですか？

私が現在見ているDLPの最も支配的な問題は、実際に何を取得できるかに関するものです。多くの場合、これにより、HTTPSなどの暗号化された接続がすでに省略されています（SSL証明書を使用してMiTMを実装する場合を除く）。

さらに、ほとんどのヨーロッパ諸国では​​、プライバシーとデータ収集の比例性に関していくつかの法的問題があります。これは、DLPが実際に販売されていない最大の理由の1つです。

EUでのデータの取得と処理に関しては、いくつかの厳格なガイドラインがあります。

• 通知-データ主体は、データが収集されているときに通知を受ける必要があります。
• 目的-データは、記載されている目的にのみ使用する必要があり、他の目的には使用しないでください。
• 同意-データ主体の同意なしにデータを開示してはなりません。
• セキュリティ-収集されたデータは、潜在的な悪用から保護する必要があります。
• 開示—データ主体は誰がデータを収集しているかについて知らされるべきです。
• アクセス-データ主体は自分のデータにアクセスし、不正確なデータを修正できるようにする必要があります。そして
• 説明責任-データ主体は、上記の原則に従う責任をデータ収集者に持たせるために利用できる方法を持っている必要があります。

たとえば、米国と比較すると、ヨーロッパの従業員が自分のコンピュータに「個人」というタイトルのフォルダを持っている場合、会社のマシンであっても、このフォルダ内のデータにアクセスできない可能性があります。個人の定義も非常に広く保たれており、幅広い解釈が可能です。そして、個人データ処理は許可されていません特定の条件が満たされない限り：

• 透明性（どのデータが処理されているかを被験者に常に通知する必要があります）
• 正当な目的
• 比例性（機密性の高い個人データ（宗教的信念、政治的意見、健康、性的指向、人種、過去の組織のメンバーシップなど）が処理されている場合、追加の制限が適用されます。）
• 特定の条件が満たされない限り、データ自体を欧州連合以外の他の国に送信することもできません。

上記の規則のいずれかに違反すると（偶然であっても）、法的責任を負い、会社に多大な損害を与える可能性があります。したがって、ネットワークを通過する（そしてSSLストリームを復号化する）ほとんどすべてを収集するマシンは、収集したデータに問題が発生した場合、または誰かがピークを迎えることを決定した場合、あなたの会社が責任を負うため、実際のリスクになりますそれ。