セキュリティ侵害の通知に関する州法を施行している州に住む顧客の個人情報を保有している会社は、コンプライアンス対策を強化しておく必要がある。
コンプライアンス時代が本格的に到来している中、われわれが対応しなければならない法規制や業界基準は、HIPAA(医療保険の相互運用性と説明責任に関する法律)やPCI DSSといったものだけではないことを認識するのは重要だ。企業規模にかかわらず、企業の多くは現在、セキュリティ侵害の通知に関する州法の適用も受けることになる。現時点で米国45州がこうした法律を施行しており、連邦法の制定を目指す取り組みも行われている。つまり、この45州のいずれかに住んでいる人の個人情報をMicrosoft SQL Serverシステムに保存する場合、あなたの会社はコンプライアンス対策を強化しておかなければならないかもしれない。
不思議なことに、わたしの見たところでは、この州法を知らない人が多い。金融や医療などの業種向けの連邦プライバシー法や連邦情報セキュリティ法とは異なり、州の侵害通知法は、暗号化されていない個人情報に焦点を当てている。この侵害通知法では、セキュリティ侵害の発生が確認された場合や疑われる場合、個人情報が暗号化されていないと、被害に遭った可能性があると見なされる。
この場合、これらの法律では通常、企業は侵害の被害を受けた、あるいは受けた可能性がある人全員に通知を行うことを義務付けられている。通知状を大量に郵送するコストを考慮することで、初めて大ごとと思えるかもしれない。実際、管理コストを計算に入れないとしても、現在の郵便料金では、比較的少数の人に郵送するだけでも数千ドル掛かる。これではほぼ間違いなく、あらかじめ機密情報を暗号化した場合に掛かる費用より高くついてしまう。
では、このことをデータベースとSQL Serverのセキュリティ要件にどのように加味するのか。Webで提供されているアドバイスの大部分では(大抵の場合、どのような作業が必要になるかには触れずに)、「個人情報を暗号化する」ことが勧められている。もちろん、暗号化はそれほど簡単なことではないが、手間を嫌って避けて通るわけにもいかない。実際、法律は法律であり、企業はその順守に向けて何をすべきかをしっかり把握しなければならない。そのためには、あなたの会社のデータベースに保存されている個人情報を洗い出し、どの州(地域)にかかわっているかを調べ、各州の法律の要件を分析することが必要になる。
DBA(データベース管理者)やネットワーク管理者は一般に、コンプライアンスの責任を直接負っていない。それでも、誰がコンプライアンス業務の責任者であるかにかかわらず、最終的にはこれらの担当者がこの問題に対応することになる可能性が高い。このことを頭に入れておこう。実際、経営幹部に手回しの良さをアピールし、この問題への対応に関する裁量を任せてもらえるように、今すぐに取り組みを始めるのが得策かもしれない。この問題への45州のアプローチはそれぞれ少しずつ異なっている(データ型、暗号化方法、暗号鍵のセキュリティなどの点で)ため、できるだけ早い段階からしかるべき人にかかわってもらうのが賢明だ。わたしならまず会社のコンプライアンス責任者や弁護士に頼むだろう。
もっとも、個人情報を暗号化することは法律上の義務ではない。ただし、暗号化しないことを選択する場合には、侵害通知の手続きや関連費用の準備が必要であり、ほかにも処分を課される場合はそれにも備えなければならない。情報セキュリティにかかわることには必ずトレードオフがある。従って、暗号化するかどうかの選択はビジネス上の判断であり、主要な関係者によって行われなければならない。こうした関係者の意見を集約し、合理的な決断を下す必要がある。
SQL Server 2005の暗号化機能やSQL Server 2008の強化されたセキュリティ管理機能でも、州の侵害通知法の要件を満たすのはかなりの難題だ。確かに、DBAはフィールドやデータベース全体をファイルレベルで暗号化できる。しかし、それは決して容易なことではなく、既存システムの場合はなおさらだ。紙ベースで仕事をしているであろう経営者や監査人は、残念ながら、機密の個人情報をその保存場所にかかわらず、すべて暗号化することがいかに大変でも、意に介さないだろう。
わたしは、「必要がない限り、機密情報は保存しない」という考え方を信奉しているが、保存の必要があるのか疑わしい情報をしょっちゅう見掛ける。そこで確認すると、典型的な答えは、「その情報を持っているとは知らなかった」や「その情報はもう必要ない」というものだ。なので、まず手始めに、保存の必要があるのかを明確にするという観点から、個人情報の洗い出しに取り掛かってみよう。あなたの会社でどのような個人情報が保存されているかが把握できれば、その一部、あるいは大部分は保持する必要がないということが分かるかもしれない。そこを出発点にしよう。
あなたの会社がさまざまな州の住民の個人情報を保持していかなければならないことが分かった場合、経営陣がビジネスリスクを回避したいと考えているのであれば、少なくともあなたは新しいプロジェクトを進めることになる。後は奮闘あるのみだ。
本稿筆者のケビン・ビーバー氏は、米アトランタにあるPrinciple Logicを経営する独立系情報セキュリティコンサルタントで、執筆、講演も手掛ける。情報セキュリティに関する7冊の著書および共著書がある。
Copyright © ITmedia, Inc. All Rights Reserved.
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
サイバー攻撃が激化する中、防御側は限られたリソースで対策することに苦慮している。こうした状況において組織が優先すべきは、エンドポイントと認証情報の保護であり、これらの有効な防御手段として注目されているのが、XDRとITDRだ。
昨今、セキュリティ教育の重要性が高まっている。しかし、効果を正確に測ることが難しく、目標設定や運用に悩むケースも少なくない。本資料では、担当者の負担を軽減しながら、このような問題を解消する方法を紹介する。
情報セキュリティ対策では、従業員の意識を高めるための“教育”が重要となる。しかしセキュリティ教育は、効果の測定が難しく、マンネリ化もしやすいなど課題が多い。効果的なセキュリティ教育を、負荷を抑えて実現するには何が必要か。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
