セキュリティ侵害の通知に関する州法を施行している州に住む顧客の個人情報を保有している会社は、コンプライアンス対策を強化しておく必要がある。
コンプライアンス時代が本格的に到来している中、われわれが対応しなければならない法規制や業界基準は、HIPAA(医療保険の相互運用性と説明責任に関する法律)やPCI DSSといったものだけではないことを認識するのは重要だ。企業規模にかかわらず、企業の多くは現在、セキュリティ侵害の通知に関する州法の適用も受けることになる。現時点で米国45州がこうした法律を施行しており、連邦法の制定を目指す取り組みも行われている。つまり、この45州のいずれかに住んでいる人の個人情報をMicrosoft SQL Serverシステムに保存する場合、あなたの会社はコンプライアンス対策を強化しておかなければならないかもしれない。
不思議なことに、わたしの見たところでは、この州法を知らない人が多い。金融や医療などの業種向けの連邦プライバシー法や連邦情報セキュリティ法とは異なり、州の侵害通知法は、暗号化されていない個人情報に焦点を当てている。この侵害通知法では、セキュリティ侵害の発生が確認された場合や疑われる場合、個人情報が暗号化されていないと、被害に遭った可能性があると見なされる。
この場合、これらの法律では通常、企業は侵害の被害を受けた、あるいは受けた可能性がある人全員に通知を行うことを義務付けられている。通知状を大量に郵送するコストを考慮することで、初めて大ごとと思えるかもしれない。実際、管理コストを計算に入れないとしても、現在の郵便料金では、比較的少数の人に郵送するだけでも数千ドル掛かる。これではほぼ間違いなく、あらかじめ機密情報を暗号化した場合に掛かる費用より高くついてしまう。
では、このことをデータベースとSQL Serverのセキュリティ要件にどのように加味するのか。Webで提供されているアドバイスの大部分では(大抵の場合、どのような作業が必要になるかには触れずに)、「個人情報を暗号化する」ことが勧められている。もちろん、暗号化はそれほど簡単なことではないが、手間を嫌って避けて通るわけにもいかない。実際、法律は法律であり、企業はその順守に向けて何をすべきかをしっかり把握しなければならない。そのためには、あなたの会社のデータベースに保存されている個人情報を洗い出し、どの州(地域)にかかわっているかを調べ、各州の法律の要件を分析することが必要になる。
DBA(データベース管理者)やネットワーク管理者は一般に、コンプライアンスの責任を直接負っていない。それでも、誰がコンプライアンス業務の責任者であるかにかかわらず、最終的にはこれらの担当者がこの問題に対応することになる可能性が高い。このことを頭に入れておこう。実際、経営幹部に手回しの良さをアピールし、この問題への対応に関する裁量を任せてもらえるように、今すぐに取り組みを始めるのが得策かもしれない。この問題への45州のアプローチはそれぞれ少しずつ異なっている(データ型、暗号化方法、暗号鍵のセキュリティなどの点で)ため、できるだけ早い段階からしかるべき人にかかわってもらうのが賢明だ。わたしならまず会社のコンプライアンス責任者や弁護士に頼むだろう。
もっとも、個人情報を暗号化することは法律上の義務ではない。ただし、暗号化しないことを選択する場合には、侵害通知の手続きや関連費用の準備が必要であり、ほかにも処分を課される場合はそれにも備えなければならない。情報セキュリティにかかわることには必ずトレードオフがある。従って、暗号化するかどうかの選択はビジネス上の判断であり、主要な関係者によって行われなければならない。こうした関係者の意見を集約し、合理的な決断を下す必要がある。
SQL Server 2005の暗号化機能やSQL Server 2008の強化されたセキュリティ管理機能でも、州の侵害通知法の要件を満たすのはかなりの難題だ。確かに、DBAはフィールドやデータベース全体をファイルレベルで暗号化できる。しかし、それは決して容易なことではなく、既存システムの場合はなおさらだ。紙ベースで仕事をしているであろう経営者や監査人は、残念ながら、機密の個人情報をその保存場所にかかわらず、すべて暗号化することがいかに大変でも、意に介さないだろう。
わたしは、「必要がない限り、機密情報は保存しない」という考え方を信奉しているが、保存の必要があるのか疑わしい情報をしょっちゅう見掛ける。そこで確認すると、典型的な答えは、「その情報を持っているとは知らなかった」や「その情報はもう必要ない」というものだ。なので、まず手始めに、保存の必要があるのかを明確にするという観点から、個人情報の洗い出しに取り掛かってみよう。あなたの会社でどのような個人情報が保存されているかが把握できれば、その一部、あるいは大部分は保持する必要がないということが分かるかもしれない。そこを出発点にしよう。
あなたの会社がさまざまな州の住民の個人情報を保持していかなければならないことが分かった場合、経営陣がビジネスリスクを回避したいと考えているのであれば、少なくともあなたは新しいプロジェクトを進めることになる。後は奮闘あるのみだ。
本稿筆者のケビン・ビーバー氏は、米アトランタにあるPrinciple Logicを経営する独立系情報セキュリティコンサルタントで、執筆、講演も手掛ける。情報セキュリティに関する7冊の著書および共著書がある。
Copyright © ITmedia, Inc. All Rights Reserved.
クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。
ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。
ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。
DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。
サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
