2008年05月23日 08時00分 UPDATE
特集/連載

この賞だけは欲しくないコンプライアンスの「ワーストプラクティス賞」発表

ここ1年くらいの間にコンプライアンスで大失敗をやらかした企業や組織などを認定する「ワーストプラクティス賞」を発表しよう。

[Mike Rothman,TechTarget]

 ここ1年くらいの間にコンプライアンスで大失敗をやらかした企業や組織などを認定する「ワーストプラクティス賞」を勝手に立ち上げたので、発表しよう。

 では早速ご紹介。トップは「リップ・バン・ウィンクル賞」のTJXだ(リップ・バン・ウィンクルは同名の物語の主人公で、山中で20年間眠り続けた後で目覚めた)。小売りチェーンのTJXは、システムが侵害されていたことに何年も気付かなかった。それを考えると、同社には永久ワーストプラクティス賞を与えてもよいだろう。

 店舗の無線ネットワークを保護するのにWEPを利用する一方で、データベースやログ情報の監視を怠り、しかも穴だらけのPOSアプリケーションを使うのは、間違いなくコンプライアンスのワーストプラクティスといえる。つまり、TJXのお粗末さは飛び抜けており、今後同社のケースを上回る規模のデータ漏えいが発生するとは考えにくい。もっとも、それは楽観的に見た場合なのだが。

 次は「事件を手助けしたで賞」。受賞者はVisaだ。同社は、TJXにPCI DSS(PCIデータセキュリティ基準)の順守を2年間免除した。その間、攻撃者はTJXのデータベースをずっとあさり続けていた。同社への猶予がどのような審査プロセスを経て承認されたのかは分からないが、猶予が解除されていることを期待したい。現在の状況では、同基準の順守について例外があってはならない。

 次は「看板倒れで賞」で、その栄誉に浴するのは米国厚生省。同省が所管するHIPAA(医療保険の相互運用性と説明責任に関する法律)は、さっぱり実効が上がっていないからだ。悲しいことに、リスク管理の観点から見ると、医療機関にとっては基本的に何もせず、当局に注意を受けてからセキュリティ問題の解決に取り組む方がコスト対効果が高い。

 医療機関がHIPAAに基づく検査に引っ掛かり、罰金を科される可能性はほとんどない。患者にとってはひどい話だが、こうした状況が現実に起こっている。だが、ありがたいことに多くの医師や病院はクレジットカード払いを受け付けているため、PCI DSSの順守も義務付けられている。従って、彼らのセキュリティ対策は前進していくだろう。しかし、それはHIPAAのおかげではない。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news018.jpg

サイバーエージェントがDDTプロレスリングを買収
サイバーエージェントは、DDTプロレスリングの発行済み株式の全株式を取得したことを発表...

news069.png

Twitter投稿を基に番組視聴者のペルソナを可視化、データセクションのテレビ番組口コミ分析サービスに新機能
データセクションは、テレビ番組口コミ分析サービス「TV Insight」において、ソーシャル...

news058.jpg

アプリ利用者を特定してアンケート調査、「App Ape」と「TesTee」が連携
フラーは、リサーチツールの提供を行うテスティーと共同で、アプリ所持ユーザーや休眠ユ...