2007年08月09日 05時00分 公開
特集/連載

米国情報プライバシー法を知り最悪の事態を回避する本当に怖い情報漏えい

情報プライバシー法は自社には無縁だという認識は誤っている。情報流出による最悪の事態を避けるため、法律の現状と対策のノウハウを紹介する。

[Craig Norris, Tom Cadle,TechTarget]

 情報プライバシー法は未公開企業には適用されず、上場企業や政府機関、金融機関のみを想定したものだという大きな誤解が、情報セキュリティ専門家の間には存在する。しかしこれは誤りだ。上場企業かそうでないか、大企業か中小企業かを問わず、現在の情報プライバシー規制はさまざまなレベルで組織に影響を及ぼす可能性があり、その影響は財務や法務のみにとどまらない。

 未公開企業が優れたセキュリティプラクティスを取り入れていなければ、業績や顧客確保、会社の評判、従業員の士気に影響が出かねない。実際、あらゆる種類の企業に適用されるプライバシー法は10種類以上あり、今後さらに増える予定だ。政府と個人は自分たちの情報を扱う上での責任を非公開企業にも持たせるべきだと主張しており、情報セキュリティのあらゆる側面がこれら法律でカバーされている。

 未公開企業関係者やセキュリティ専門家の中には、こうした懸念は自分たちには無縁だと片付けていた向きもあるかもしれない。情報の安全を確保する法的義務はないと誰かに言われたなどの理由で。

 しかし、消費者が自分の個人情報のプライバシーをどれほど大切に思っているかを理解していない企業が多いようだ。本稿では、何が公の情報で何が個人情報と考えられているかを検証し、現状で最先端のプライバシー法を幾つか紹介、自社にとって最も貴重な財産である情報から、成り済ましの被害が発生するリスクを避けるためのノウハウを紹介する。

顧客と従業員の情報に責任を持つ

 大企業に限らずあらゆる規模の企業は、米連邦政府と州の顧客情報セキュリティ/プライバシー法に従う義務がある。実際問題として、顧客は企業の大小を問わず、企業や組織との取引に対して極めて神経質になっている。以下のことをご存じだろうか。

  • 米国人の85%は成り済ましの被害に遭う不安を持っている
  • 消費者の64%は、自分の個人情報がどう使われるか分からないという理由で特定の会社の製品やサービスの購入をやめた経験がある
  • 消費者の58%は、企業が公言している通りのセキュリティ/プライバシーポリシーに従っていると確信できれば、その企業を家族や友人に勧めると答えている

Privacy & American Businessの調査より)

 会社の情報セキュリティ戦略に影響を与える立場にいる場合、情報プライバシー法を根本的に理解し、民間組織として従業員および顧客の情報を扱う際に直面するかもしれない潜在的な法的規制を知っておくことが大切だ。こうした取り組みの中心となるのは、自社と顧客に関係するプライバシー/セキュリティ法の現状を把握しておく責任だ。

 情報が盗まれたり不正アクセスされるのを防ぐため、必要な措置を講じるよう企業に促すのが法律だ。こうした事態が起きれば高いものにつきかねない。ポニモン・インスティテュートの2006年の調査によると、企業で情報が流出した場合のコストは、流出した情報1件につき平均182ドル。これは2005年に比べて31%増加した。1回の情報流出で掛かるコストは100万ドル以下だったのが、2200万ドルを超すようになっていることも、この調査で示された。

 米連邦取引委員会(FTC)の2006年初頭の統計によると、2005年度に報告された成り済まし被害の件数は計9万3938件。2004年の7万6815件から着実に増えている。さらに興味深いのは、被害者の情報がどのように悪用されているかだ。

2005年度に報告された成り済まし被害
被害の種類 比率
クレジットカード詐欺 26%
電話/公共料金詐欺 18%
銀行詐欺 17%
従業員関連詐欺 12%
政府文書詐欺 9%
ローン詐欺 5%
そのほかの成り済まし 25%
成り済まし未遂 6%
(資料:FTC苦情報告データ 2005年12月)

 会社についての情報が盗まれれば、その会社の名義でクレジットカードの口座が開設され、知らないうちに買い物をされたり、怪しげなローンに使われるなどの被害に遭うこともある。その会社や資産を気付かれないうちに売り飛ばすことができてしまうだけの情報が、犯罪者の手に渡ることもまれにある。

公的情報と個人情報の分類

 どんな情報が個人情報に当たり、非公開とすべきかを判断するには、それが公的記録や市販ルートで引き出せるものかどうかを考えればいい。非公開情報には、公開されないように法律や習慣で守られているものが含まれる。医療記録、従業員記録、確定申告、個人の資産記録といった情報がそれに当たる。通常、個人情報はその情報の当事者と正当な知る権利を有する個人、当事者が書面で同意した外部関係者および法律で認められた者のみに公開することができる。企業が持つ個人情報の例として以下のようなものがある。

従業員関連

社会保障番号  生年月日  自宅の電話番号  健康情報 自宅の住所

族、国籍  従軍記録、障害状況  電子メールアドレス 自動車運転免許証番号

医療機関

医療記録番号 健康プラン番号 口座番号

認定/免許証番号 装置番号/シリアル番号 顔写真


 資産情報やクレジットカード情報に関しては、金融商品やサービスの取引を通じて入手した、本人を特定できる情報がこれに含まれる。また、クレジットカード決済の過程で入手した、消費者個人とその購入品目を特定できる次のような情報も対象となる。

氏名 住所 電話番号 口座残高 ACH番号

銀行口座番号 クレジットカード番号と有効期限

クレジットレーティング 生年月日、出身地

自動車運転免許証番号 所得情報

決済情報 口座番号 有効期限 社会保障番号


 プライバシー・ライツ・クリアリングハウスのWebサイトでは、成り済ましの報告事例が年代順に、文字通り何百件も掲載されている。

主要な法律の概要

 未公開企業かそうでないかを問わず、企業が収集した個人情報を守るために施行されている主な法律を幾つか見てみよう。

カリフォルニア州SB-1386

 これは他州に先駆けて導入されたプライバシー法で、影響力が強く、ドミノ効果で他州が相次いで後を追った。この法律は2002年に成立。企業に対し、暗号化されていない個人情報が流出した場合、消費者への通知を厳格に義務付けている。個人の氏名とクレジットカード情報、社会保障番号、運転免許番号といった情報の組み合わせがこれに含まれる。SB-1386の成立以来、同様のプライバシー法を制定した州は十数州に上り、世界でも法制化されている。

 罰金や刑期といった罰則の具体的な明記はないが、メディアでマイナスの情報が流れることによるダメージ、顧客に通知するための経費とその後の広報上の悪夢は、事実上とどまるところがない。しかも、SB-1386では損害を回復するための民事訴訟をはっきりと認めている。

HIPAA

 医療情報のあらゆる側面に関し、1996年の医療保険の相互運用性と説明責任に関する法律 (Health Insurance Portability & Accountability Act=HIPAA)では、電子情報交換の標準化による医療情報提供の効率向上と、医療情報の秘密保持およびセキュリティ対策を義務付けている。ほとんどすべての医療機関、公衆衛生当局、クリアリングハウス、自己保険事業者、生命保険会社、サービス組織、大学が、HIPAAの規制対象となる。これらの組織では、医療情報の電子的な処理に関し、全患者の医療情報(PHI)を安全に保護することが義務付けられている。罰則として、年度内に同じ規定の違反が複数回あった場合は最大2万5000ドルの罰金、個人を特定できる医療情報を意図的に不正利用した場合には25万ドルの罰金や最大10年の禁固刑が定められている。

PCIデータセキュリティ基準

 法律ではないが、PCIデータセキュリティ標準はVISA、MasterCard、Discoverなどのクレジットカード各社が、カード保持者の口座情報と取引情報の適切な処理と保護を保証するために確立した。PCI基準は、クレジットカード情報の適切な処理のための12カ条で構成され、契約上の義務となっている。対象にはクレジットカード情報と、カード保持者の個人を特定できる情報が含まれる。PCIは、電子商取引企業、金融機関、小売業者など、クレジットカード情報を扱い保存しているあらゆる業者に適用される。

 PCIの規定によると、

  • VISA取引情報の紛失や盗難が疑われ、あるいは確認された場合、VISA会員は直ちにVISA USA詐欺コントロールに通報しなければ、1回当たり10万ドルの罰金を科せられる
  • 業者やサービス提供者から情報が流出し、その時点で規則に従っていなかった場合、会員に対し1回当たり最大で50万ドルの罰金が科せられる

グラム・リーチ・ブライリー法(GLBA)

 GLBAは、資産プライバシー規定を含む複数章で構成される法律。同規定では金融機関に対し、消費者との関係を確立した時点、およびその後1年ごとに、それぞれの消費者へのプライバシー通告提供を義務付けている。プライバシー通告では、その消費者について収集した情報、その情報の共有先、利用方法、保護方法について説明しなければならない。第二に、安全保護規定では金融機関に対し、文書化された情報セキュリティ計画を策定し、その会社が顧客の非公開個人情報保護のためにどのような措置を取っているかを記すよう義務付けている。ほかの法律と同様、この規定は、ほとんどの企業が既にやっているべきこと、すなわち自社の顧客を守ることを目的としている。

GLBAの対象となる業界の例

銀行 証券取引 保険会社 貸金業者 確定申告支援

クレジットカウンセラー、ファイナンシャルアドバイザー

不動産サービス 未払い金回収サービス


 GLBAに違反すると、金融機関は1回の違反につき10万ドル以上の民事罰が科せられる。金融機関の責任者や取締役は違反1回につき1万ドル以下の罰金の対象となり、個人的に責任を負わなければならない。

米連邦情報セキュリティ管理法(FISMA)

 FISMAは米連邦政府機関が対象となる。政府機関の業務と資産を支える情報および情報システムを守るため、全組織的なプログラムの策定、文書化、履行を義務付けており、ほかの省庁や請負業者が管理しているものにも適用される。米連邦政府機関、州、自治体、部族政府および米国の重要インフラを構成する民間セクターもFISMAの対象となる。

米連邦情報処理標準規格(FIPS)

 暗号化が絡むアプリケーションや装置について、米連邦政府機関は米連邦情報処理標準規格(Federal Information Processing Standard=FIPS)140準拠、あるいは情報セキュリティ国際評価基準(Common Criteria:CC)準拠の暗号化製品利用が義務付けられている。CCの暗号セキュリティはほとんどFIPSがベースとなっている。FIPS準拠義務は、非機密情報の保護に暗号ベースのセキュリティシステムを使っている米国政府の全省庁に適用され、米国とカナダの政府機関に製品を販売している組織も対象となる。

データプライバシー戦略の策定

 まず情報収集業務の分類から始めよう。

  • 顧客や従業員の氏名、電子メールアドレス、住所、電話番号、社会保障番号などの個人情報を収集しているか
  • 顧客情報を一定期間保存しているか
  • クレジットカード/デビットカードの利用を認めているか
  • 企業や組織と顧客情報のやりとりをしているか
  • インターネットで事業を営んでいるか

 上記のいずれかに該当する場合、情報セキュリティとプライバシー法のことを考える必要がある。幸い、企業が自社と顧客保護の一助とするため導入できる予防的措置は多数ある。

会社のプライバシーポリシー確立

 まず第一に、徹底したプライバシーポリシーを確立し、重要な会社情報を守るという経営側の強い姿勢を示す必要がある。行動規範は「ISO/IEC 17799 Code of Practice for Information Security Management」といった文書から策定できる。同文書では、企業のデータと個人情報のプライバシー保護を想定した、管理上、業務上、技術上の多様なコントロール手段を提供している。

重要情報の監視と管理

 必要に応じて暗号化を使い、重要情報を適切に扱う。管理上のニーズと法令の定めに従い、個人情報の保存期間と情報を破棄できる時期を定めた会社の情報保持ポリシーを策定する。情報の破棄に当たっては、個人情報が悪用されることのないよう気を配る。

重要情報の収集制限

 もし可能であれば、社会保障番号やクレジットカード番号といった個人情報は、どうしても必要でない限り収集しないに越したことはない。社会保障番号、電話番号といった顧客の個人情報の代わりに、今では社内で個々に割り当てる顧客番号を作成している企業も多い。

情報への物理的接触を制限

 重要エリアへのアクセスは常に防護に努めなければならない。重要情報がどこに保存されていようと、大切な情報を守るためには、施錠してこうしたエリアへのアクセスを制御し、従業員が確実に会社の情報アクセスポリシーに従うようにしておく必要がある。

セキュアなコンピュータアクセス

 従業員間の義務と、情報への論理的アクセスを防ぐためのロールベースのアクセス制御(RBAC)遂行とは、はっきりと区別しなければならない。1人の人間がすべての鍵を握ることがあってはならない。RBACは、どのユーザーがリソースにアクセスできるかを、役割に基づきコントロールする一助となる。アクセス権は役割名によってグループ化され、リソースへのアクセスは、与えられた役割をこなす権限のあるユーザーのみに限定される。

デジタル情報と物理文書の破棄

 会社のコンピュータメディアはすべて、破棄あるいは第三者に引き渡す前に、個人を特定できる情報を一切抹消しておく必要がある。知っておいてほしいのは、データは消去した後もずっとHDDに残っていることがあるということだ。この情報はコンピュータ専門家によって取り出されてしまうことがある。重要な書類は直ちにシュレッダーにかけるべきであり、シュレッダーでの作業を第三者に任せてはならない。

外部からの情報アクセス

 会社のネットワークへの入り口にはすべて、きちんと設定されたファイアウォールやプロキシサーバ、強力なアクセス制御リストを備えたルータ、ウイルス対策ソフト、不正侵入検出装置を置くこと。これは最低条件だ。個人情報はオンラインによる提供がビジネス上どうしても必要でない限り、オフラインに置いておくべきだ。外部の脆弱性評価を頻繁に実施して、これらシステムを守っている技術的なセキュリティコントロールの強度をチェックする。

重要情報の転送

 テキストで送るのは重要でも社外秘でもない情報のみとする。重要情報は保存のときだけでなく、最終目的地に送信する際にも暗号化すること。

事故報告

 重要情報が流出した場合は直ちに行動を起こせるよう、事故対策プランを定めておく必要がある。損害を最低限に抑え、リソースを回復し、データが改ざんされていないことを保証するやり方をチームとして知っておくことが大切だ。

セキュリティ啓発/トレーニング

 重要情報に物理的または論理的にアクセスできる従業員すべてがセキュリティポリシー基準を満たすよう、訓練しておく必要がある。さらに、守秘義務契約を導入し、情報保護のため会社のポリシーに従うと明記して従業員にサインさせることだ。

外部委託とサービスレベル合意(SLA)

 サービスをアウトソーシングしている場合、相手の組織が強力な情報プライバシーポリシーを執行し、情報セキュリティの最先端技術を導入し、いつでもネットワーク監査を受け入れて、その会社だけでなくアウトソーシング元の会社のセキュリティ基準を守っていることを保証してもらう必要がある。

最後に

 情報プライバシー法と情報セキュリティ行動規範は、各種政府機関だけでなく未公開企業と上場企業にも適用されるということを、無視あるいは理解していない企業が多いのが現状だ。これら企業は最も貴重な財産である情報が紛失・流出し、信頼できない相手の手に渡るリスクにさらされている。相手は流出した情報から利益を上げようと狙っているのだ。法律や規制は、すべての規模/業種の企業に対し、プライバシーと個人情報の慎重な利用を促す狙いで急拡大してきた。

 データプライバシーは複雑であり、新しい規制の対象となる周辺問題の法的展望や、政府機関および裁判所の解釈の変化に伴い、急速に変化している。これらの法律は自社に適用されるものであり、常に現状を把握しておく必要がある。セキュリティ侵害のリスクを回避するには、社内で作成、保存、処理、転送している情報の種類について自問し、セキュリティ上のベストプラクティスを導入することから始めるしかない。

 セキュリティ侵害が一般に知れわたる事態を回避できる保証はないが、情報セキュリティポリシーの導入と従業員のセキュリティに対する認識向上により、自社が最大の危険にさらされる事態の回避に向けた、長い道のりを歩むことが可能になる。

本稿筆者のクレイグ・ノリス(CISSP、CISA、MCSE、Security+、CAPM、TICSA)は、米ダラスにあるITコンサルティング会社のエンゲージメントマネジャー。12年以上にわたりITとセキュリティに携わっている。

トム・キャドル(CISSP、CEH、MCT、MCSE)は大手多国籍企業の情報システムセキュリティ責任者。ITとセキュリティに16年以上携わってきた。

TechTargetジャパンへのご登録はお済みですか?

「TechTargetジャパン」メンバーシップのご案内

会員登録を行うことで、300点以上の技術資料がそろったホワイトペーパーや興味・関心分野ごとに情報を配信するメールマガジン、ITmediaや@ITの特集記事がPDFでまとまって読める電子ブックレットなど、各種サービスを無料で利用できます。会員登録(無料)はこちらから


ITmedia マーケティング新着記事

Yahoo!広告がLINE広告と連携 「LINE NEWS」面への配信を開始
ヤフーとLINENが広告事業で初めての連携。

news019.jpg

人はなぜFacebookを離脱したくなるのか? プライバシー懸念を上回る理由
さまざまな懸念もよそに拡大する巨大SNS。一方でそこからログアウトする人々は何を思うの...

news117.jpg

化粧品の二次流通市場規模は推計1555億円――メルカリとアイスタイル調査
二次流通市場購入者の40.1%が、使ったことがない化粧品を試すための“トライアル消費”...