2008年05月23日 08時00分 公開
特集/連載

コンプライアンスの「ワーストプラクティス賞」発表この賞だけは欲しくない

ここ1年くらいの間にコンプライアンスで大失敗をやらかした企業や組織などを認定する「ワーストプラクティス賞」を発表しよう。

[Mike Rothman,TechTarget]

 ここ1年くらいの間にコンプライアンスで大失敗をやらかした企業や組織などを認定する「ワーストプラクティス賞」を勝手に立ち上げたので、発表しよう。

 では早速ご紹介。トップは「リップ・バン・ウィンクル賞」のTJXだ(リップ・バン・ウィンクルは同名の物語の主人公で、山中で20年間眠り続けた後で目覚めた)。小売りチェーンのTJXは、システムが侵害されていたことに何年も気付かなかった。それを考えると、同社には永久ワーストプラクティス賞を与えてもよいだろう。

 店舗の無線ネットワークを保護するのにWEPを利用する一方で、データベースやログ情報の監視を怠り、しかも穴だらけのPOSアプリケーションを使うのは、間違いなくコンプライアンスのワーストプラクティスといえる。つまり、TJXのお粗末さは飛び抜けており、今後同社のケースを上回る規模のデータ漏えいが発生するとは考えにくい。もっとも、それは楽観的に見た場合なのだが。

 次は「事件を手助けしたで賞」。受賞者はVisaだ。同社は、TJXにPCI DSS(PCIデータセキュリティ基準)の順守を2年間免除した。その間、攻撃者はTJXのデータベースをずっとあさり続けていた。同社への猶予がどのような審査プロセスを経て承認されたのかは分からないが、猶予が解除されていることを期待したい。現在の状況では、同基準の順守について例外があってはならない。

 次は「看板倒れで賞」で、その栄誉に浴するのは米国厚生省。同省が所管するHIPAA(医療保険の相互運用性と説明責任に関する法律)は、さっぱり実効が上がっていないからだ。悲しいことに、リスク管理の観点から見ると、医療機関にとっては基本的に何もせず、当局に注意を受けてからセキュリティ問題の解決に取り組む方がコスト対効果が高い。

 医療機関がHIPAAに基づく検査に引っ掛かり、罰金を科される可能性はほとんどない。患者にとってはひどい話だが、こうした状況が現実に起こっている。だが、ありがたいことに多くの医師や病院はクレジットカード払いを受け付けているため、PCI DSSの順守も義務付けられている。従って、彼らのセキュリティ対策は前進していくだろう。しかし、それはHIPAAのおかげではない。

ITmedia マーケティング新着記事

news165.jpg

「SDGs」の認知率が初の半数超え 10代、課長代理・係長クラスの認知率が高い――電通調査
電通が第4回「SDGsに関する生活者調査」を実施。SDGs認知率は前回調査(2020年1月)から...

news054.jpg

「ECプラットフォーム」 売れ筋TOP10(2021年5月)
一部の都道府県では、新型コロナ第4波のための緊急事態宣言が続いています。オンラインシ...

news138.jpg

Brightcove、放送局レベルの品質でライブ配信イベントを実現する「Virtual Events for Business」を発表
企業やチーム単位で、安全かつ信頼性の高い放送品質のライブ配信イベントを社内外に配信。