2006年5月13日土曜日

米国情報セキュリティ事情

米国の個人情報の保護に関して、興味深いニュースがありました。以下は、日経BPのHPからの引用です。

個人の機密情報保護を怠った米不動産会社,FTCの和解案に合意

 米連邦取引委員会(FTC)は米国時間5月10日,個人情報保護に関して適切なセキュリティ対策を怠っていた不動産会社米Nations Holding(NHC)が和解に応じたと発表した。FTCは,NHC社とその子会社Nations Title Agency(NTA)が,顧客情報を保護するよう義務づけた法規「Safeguards Rule」に違反したとして提訴していた。

 NHC社はカンザスに拠点を置く非公開企業で,米国44州において不動産業を展開している。NTA社は住宅ローン関連のサービスを手がけている。

 FTCによると,NHCとNTAの両社は,顧客名,社会保障番号,銀行やクレジットカード情報,信用履歴などを取り扱っていたにもかかわらず,それら個人情報の保護に関して,適切かつ基本的なセキュリティ対策を怠った。さらに,個人情報を含む書類を,第三者が出入りできるゴミ捨て場に投棄した。またNHC社は,ごく一般的な手口を用いたハッカー攻撃によって,社内ネットワークへの侵入を受けたという。

 ちなみにNTA社は,「顧客情報を保護するために,連邦政府が定める規制に準拠した物理的および電子的対策と適正手続きを導入している」とするプライバシ・ポリシーを明記していた。

 FTCの和解要件は,両社が包括的な情報セキュリティ・プログラムを導入し,今後20年間はセキュリティ・プログラムが適切な水準に達しているか,専門の第三者機関の監査を受けるよう定めている。また,2005年6月1日に施行されたFTCの「Disposal Rule」に従い,顧客の信用履歴に関する情報を適切な方法で処分するよう義務づける。

 FTC委員長のDeborah Platt Majoras氏は,「消費者の個人情報を不注意に取り扱うと,身元詐称などの犯罪を誘引することになる」と警告する。同氏によると,FTCはこれまでデータ保護に関する不適切な慣行を,今回の和解を含め13件取り締まったという。

 


個人情報保護のための適切な情報セキュリティ対策がとられていないとのことですが、連邦取引委員会(FTC)の所管なのですね。消費者保護の範疇なのでしょうか。
それと、漏洩したことに対する処置ではなく、適切な対策がないということの和解。企業が情報セキュリティ対策を施すのは当たり前ということなのですね。

’今後20年間はセキュリティ・プログラムが適切な水準に達しているか,専門の第三者機関の監査を受けるよう定めている’とありますが、これは保証型の情報セキュリティ監査なんですかね。

色々と、考えさせられるニュースした。

FTC発表資料

0 件のコメント:

コメントを投稿