2009年03月31日 07時30分 公開
特集/連載

コンプライアンスのためのデータベース暗号化――事前の注意点は?必要ない機密情報は保有しない

セキュリティ侵害の通知に関する州法を施行している州に住む顧客の個人情報を保有している会社は、コンプライアンス対策を強化しておく必要がある。

[Kevin Beaver,TechTarget]

 コンプライアンス時代が本格的に到来している中、われわれが対応しなければならない法規制や業界基準は、HIPAA(医療保険の相互運用性と説明責任に関する法律)やPCI DSSといったものだけではないことを認識するのは重要だ。企業規模にかかわらず、企業の多くは現在、セキュリティ侵害の通知に関する州法の適用も受けることになる。現時点で米国45州がこうした法律を施行しており、連邦法の制定を目指す取り組みも行われている。つまり、この45州のいずれかに住んでいる人の個人情報をMicrosoft SQL Serverシステムに保存する場合、あなたの会社はコンプライアンス対策を強化しておかなければならないかもしれない。

 不思議なことに、わたしの見たところでは、この州法を知らない人が多い。金融や医療などの業種向けの連邦プライバシー法や連邦情報セキュリティ法とは異なり、州の侵害通知法は、暗号化されていない個人情報に焦点を当てている。この侵害通知法では、セキュリティ侵害の発生が確認された場合や疑われる場合、個人情報が暗号化されていないと、被害に遭った可能性があると見なされる。

 この場合、これらの法律では通常、企業は侵害の被害を受けた、あるいは受けた可能性がある人全員に通知を行うことを義務付けられている。通知状を大量に郵送するコストを考慮することで、初めて大ごとと思えるかもしれない。実際、管理コストを計算に入れないとしても、現在の郵便料金では、比較的少数の人に郵送するだけでも数千ドル掛かる。これではほぼ間違いなく、あらかじめ機密情報を暗号化した場合に掛かる費用より高くついてしまう。

ITmedia マーケティング新着記事

news156.jpg

サイロ化の現実 75%の企業は部門間が連携せず、むしろ競争関係にある――Accenture調査
デジタル変革(DX)における不十分な事業部間連携は業績低下につながるというAccentureの...

news052.png

ゲーム業界がコロナ禍でTwitterを活用したコミュニケーションに注力した理由
コロナ禍において「巣ごもり消費」が拡大し追い風が吹いているといわれるゲーム業界だが...

news139.jpg

コロナ禍の観光に見える20の兆しとは? TBWA HAKUHODOなどが「観光復興ガイド」を公開
SNS上の旅行に対する価値観の激しい変化を分析し、そこから見えた20の新たな兆しとその後...