コンプライアンスの「ワーストプラクティス賞」発表この賞だけは欲しくない

ここ1年くらいの間にコンプライアンスで大失敗をやらかした企業や組織などを認定する「ワーストプラクティス賞」を発表しよう。

2008年05月23日 08時00分 公開
[Mike Rothman,TechTarget]

 ここ1年くらいの間にコンプライアンスで大失敗をやらかした企業や組織などを認定する「ワーストプラクティス賞」を勝手に立ち上げたので、発表しよう。

 では早速ご紹介。トップは「リップ・バン・ウィンクル賞」のTJXだ(リップ・バン・ウィンクルは同名の物語の主人公で、山中で20年間眠り続けた後で目覚めた)。小売りチェーンのTJXは、システムが侵害されていたことに何年も気付かなかった。それを考えると、同社には永久ワーストプラクティス賞を与えてもよいだろう。

 店舗の無線ネットワークを保護するのにWEPを利用する一方で、データベースやログ情報の監視を怠り、しかも穴だらけのPOSアプリケーションを使うのは、間違いなくコンプライアンスのワーストプラクティスといえる。つまり、TJXのお粗末さは飛び抜けており、今後同社のケースを上回る規模のデータ漏えいが発生するとは考えにくい。もっとも、それは楽観的に見た場合なのだが。

 次は「事件を手助けしたで賞」。受賞者はVisaだ。同社は、TJXにPCI DSS(PCIデータセキュリティ基準)の順守を2年間免除した。その間、攻撃者はTJXのデータベースをずっとあさり続けていた。同社への猶予がどのような審査プロセスを経て承認されたのかは分からないが、猶予が解除されていることを期待したい。現在の状況では、同基準の順守について例外があってはならない。

 次は「看板倒れで賞」で、その栄誉に浴するのは米国厚生省。同省が所管するHIPAA(医療保険の相互運用性と説明責任に関する法律)は、さっぱり実効が上がっていないからだ。悲しいことに、リスク管理の観点から見ると、医療機関にとっては基本的に何もせず、当局に注意を受けてからセキュリティ問題の解決に取り組む方がコスト対効果が高い。

 医療機関がHIPAAに基づく検査に引っ掛かり、罰金を科される可能性はほとんどない。患者にとってはひどい話だが、こうした状況が現実に起こっている。だが、ありがたいことに多くの医師や病院はクレジットカード払いを受け付けているため、PCI DSSの順守も義務付けられている。従って、彼らのセキュリティ対策は前進していくだろう。しかし、それはHIPAAのおかげではない。

ITmedia マーケティング新着記事

news187.jpg

アドウェイズ、バイタルサイン計測サービス「MARKETING DOC」を発表
アドウェイズは、マーケティングの活動状況を計測して診断するサービス「MARKETING DOC」...

news057.png

外注費の実態 「動画制作」「マーケティング」が大きく増加の傾向――ランサーズ調査
フリーランスや専門会社への「外注」について、どのような業務の外注費が増加傾向にある...

news049.png

SEO対策において「古い記事」をどうすべきか? 3つの対処法を解説
SEOの観点では、古い記事は削除した方がいいのか、残しておいても大丈夫か。どのような対...