カリフォルニア州で米国時間7月1日、Security Breach Information Act(情報セキュリティ侵害法)が施行される。同法により、カリフォルニア州内で営業したり同州に顧客を持つ電子商取引企業は、権限のない人物により個人情報が盗まれた場合、同州の顧客に通知しなくてはならない。情報を適切に管理しなかったり、顧客への通知を怠った企業は、民事裁判所に提訴される。
同法では、「個人情報」を、苗字と名前あるいは名前のイニシャル、そして次のいずれかを組み合わせたものと定義している。すなわち、運転免許証、カリフォルニア州の身分証明書番号、銀行口座番号、クレジットまたはデビットカードの番号(アカウント情報のパスワードやセキュリティコードを伴う)だ。
昨年9月に成立した同法は、企業に対し、セキュリティ侵害の被害状況を公表させることで、個人情報盗用によるトラブル発生を食い止めようというもの。
米Gartnerのインフォメーション・セキュリティ・ストラテジ部門研究ディレクターのRay Wagnerは、同法について「最優良事例に沿ったデータセキュリティ管理を行なっている企業は問題ないだろう。しかし、データを暗号化しなかったり、きちんとした監査証跡を維持しない場合、すぐに提訴される」と述べる。
連邦取引委員会(FTC)によると、昨年、米国で個人情報盗用の被害を報告した消費者はほぼ倍増し、16万2000人にのぼった。最も多いのがクレジットカード詐欺で、被害報告全体の42%を占めている。また、個人情報から電話番号や水道光熱費などの公益サービスの顧客番号を盗まれた割合は22%にのぼった。その他、不正入手した個人情報で就職活動をしたり、行政サービスを申請するなどの犯罪も多い。
さらに、米国会計検査院の報告によると、こういった犯罪にはさほど厳しい判決が下されないという。ペンシルバニア州の個人情報侵害法で裁定される場合、被害額が10万ドルを超えなければ、被告に1年以上の懲役を課すことはない。これが麻薬犯罪だと、ヘロインやコカインを2グラム(報告書によると、200ドル相当)所持していた場合、1年以上の懲役となる。
新法では、オンライン生花店の米FTD.comや米MicrosoftのPassportサービスで発生した個人情報の漏えいなどのセキュリティ欠陥も、顧客に通知する必要がある。
新法に対する企業の反応は様々だ。オンラインオークション大手の米eBayは、「以前から顧客への通知を心がけていたため、ビジネス方針を変更する必要はない」と述べている。
eBayのような企業もあるが、データの暗号化や安全性の確保を手がけるセキュリティ企業には、新法に引っかかる可能性のある会社から問い合わせが殺到している。
米Dorsey & Whitney法律事務所のNick Akerman弁護士は、「新法では、企業が個人情報を暗号化して保存する場合は免責となる。データの暗号化が法律遵守の最も容易な方法だ」と指摘する。しかし、常時のデータ暗号化を確約するのはすべての会社にできることではない。このため、セキュリティ企業の出番となるわけだ。
セキュリティ企業の米Sanctumは、インターネットなどを介したデータアクセス手段のセキュリティを確保する。Sanctumが提供するようなアプリケーション型ファイアーウォールは、データアクセスが合法的か、また何らかの攻撃の一環ではないかを判断する。「暗号化も重要だが、それだけでは不十分だ。インターネット上にはさまざまな弱点がある」(SanctumのCEO、Peggy Weigle)
新法以外にも、個人の医療情報(PHI)の保護規定を定めたHIPAA(Health Insurance Portability and Accountability Act)や、銀行や金融機関に対するプライバシー保護法、Graham-Leach-Blileyなどが制定されており、消費者のプライバシーを保護する法律が増えつつある。たとえば、Dianne Feinstein上院議員(民主党、カリフォルニア州選出)は先週、カリフォルニア州の新法をモデルとした連邦法を議会に提出している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス