個人情報流出――そのとき企業は？：The Essential Lawyer

米国では、データ流出が発生した場合、企業に課せられた義務は州によってまちまちだ。万一に備えて米国の州法のことを知っておきたい。

≫ 2007年02月23日 07時00分公開

[Matt Karlyn，TechTarget]

　個人情報流出は毎日のように発生し、影響は何百万人にも及ぶ。企業が個々の個人情報のセキュリティに関して最大限の対策を取っていたとしても、セキュリティ問題と無縁ではいられない。多くは単純な人為ミスに由来するのだ。企業はセキュリティ問題を防ぐために包括的な対策を取る必要があるが、万が一に備えてそれぞれに適用される州法を理解し、こうした法律の遵守に備えておく必要がある。

　セキュリティ侵害報告法では、情報が流出した場合、州の住人の個人情報を保持／収集／ライセンスしている者に対し、当事者や場合によっては各種機関に通告することを定めている。しかし各州の法律にどう従うかをめぐっては相当の混乱がある。ここではこうした法律に関する3つの俗説について解説する。

俗説1：情報が流出したコンシューマー全員に通告しなければならない

　実際はこの逆で、33州の法律のうち幾つかは、特定の条件を満たせば通告義務が緩和される。例えば流出した情報が暗号化などの形でアクセスできないようになっていたり、情報流出による損害発生の可能性は低いと会社が判断した場合、通告せずに済むことも多い。

俗説2：情報が流出した州、または会社のある州の法律にのみ従えばいい

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}