必要ない機密情報は保有しないコンプライアンスのためのデータベース暗号化――事前の注意点は？

セキュリティ侵害の通知に関する州法を施行している州に住む顧客の個人情報を保有している会社は、コンプライアンス対策を強化しておく必要がある。

[Kevin Beaver，TechTarget]

　コンプライアンス時代が本格的に到来している中、われわれが対応しなければならない法規制や業界基準は、HIPAA（医療保険の相互運用性と説明責任に関する法律）やPCI DSSといったものだけではないことを認識するのは重要だ。企業規模にかかわらず、企業の多くは現在、セキュリティ侵害の通知に関する州法の適用も受けることになる。現時点で米国45州がこうした法律を施行しており、連邦法の制定を目指す取り組みも行われている。つまり、この45州のいずれかに住んでいる人の個人情報をMicrosoft SQL Serverシステムに保存する場合、あなたの会社はコンプライアンス対策を強化しておかなければならないかもしれない。

　不思議なことに、わたしの見たところでは、この州法を知らない人が多い。金融や医療などの業種向けの連邦プライバシー法や連邦情報セキュリティ法とは異なり、州の侵害通知法は、暗号化されていない個人情報に焦点を当てている。この侵害通知法では、セキュリティ侵害の発生が確認された場合や疑われる場合、個人情報が暗号化されていないと、被害に遭った可能性があると見なされる。

　この場合、これらの法律では通常、企業は侵害の被害を受けた、あるいは受けた可能性がある人全員に通知を行うことを義務付けられている。通知状を大量に郵送するコストを考慮することで、初めて大ごとと思えるかもしれない。実際、管理コストを計算に入れないとしても、現在の郵便料金では、比較的少数の人に郵送するだけでも数千ドル掛かる。これではほぼ間違いなく、あらかじめ機密情報を暗号化した場合に掛かる費用より高くついてしまう。

関連ホワイトペーパー

暗号化 | コンプライアンス | データベース | SQL Server | 機密情報 | PCI DSS