コンプライアンスの「ワーストプラクティス賞」発表この賞だけは欲しくない

ここ1年くらいの間にコンプライアンスで大失敗をやらかした企業や組織などを認定する「ワーストプラクティス賞」を発表しよう。

2008年05月23日 08時00分 公開
[Mike Rothman,TechTarget]

 ここ1年くらいの間にコンプライアンスで大失敗をやらかした企業や組織などを認定する「ワーストプラクティス賞」を勝手に立ち上げたので、発表しよう。

 では早速ご紹介。トップは「リップ・バン・ウィンクル賞」のTJXだ(リップ・バン・ウィンクルは同名の物語の主人公で、山中で20年間眠り続けた後で目覚めた)。小売りチェーンのTJXは、システムが侵害されていたことに何年も気付かなかった。それを考えると、同社には永久ワーストプラクティス賞を与えてもよいだろう。

 店舗の無線ネットワークを保護するのにWEPを利用する一方で、データベースやログ情報の監視を怠り、しかも穴だらけのPOSアプリケーションを使うのは、間違いなくコンプライアンスのワーストプラクティスといえる。つまり、TJXのお粗末さは飛び抜けており、今後同社のケースを上回る規模のデータ漏えいが発生するとは考えにくい。もっとも、それは楽観的に見た場合なのだが。

 次は「事件を手助けしたで賞」。受賞者はVisaだ。同社は、TJXにPCI DSS(PCIデータセキュリティ基準)の順守を2年間免除した。その間、攻撃者はTJXのデータベースをずっとあさり続けていた。同社への猶予がどのような審査プロセスを経て承認されたのかは分からないが、猶予が解除されていることを期待したい。現在の状況では、同基準の順守について例外があってはならない。

 次は「看板倒れで賞」で、その栄誉に浴するのは米国厚生省。同省が所管するHIPAA(医療保険の相互運用性と説明責任に関する法律)は、さっぱり実効が上がっていないからだ。悲しいことに、リスク管理の観点から見ると、医療機関にとっては基本的に何もせず、当局に注意を受けてからセキュリティ問題の解決に取り組む方がコスト対効果が高い。

 医療機関がHIPAAに基づく検査に引っ掛かり、罰金を科される可能性はほとんどない。患者にとってはひどい話だが、こうした状況が現実に起こっている。だが、ありがたいことに多くの医師や病院はクレジットカード払いを受け付けているため、PCI DSSの順守も義務付けられている。従って、彼らのセキュリティ対策は前進していくだろう。しかし、それはHIPAAのおかげではない。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news191.jpg

Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...

news110.jpg

インテントデータ×キーエンス出身者のノウハウで実現 ABMを先に進める最先端の営業手法とは?
ユーソナーとGrand Centralは提携し、営業売り上げ拡大のためのBPOパッケージを提供開始...

news061.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年12月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...