2015年7月30日掲載 法制度 InfoCom Law Report

米FTCによる企業向けセキュリティガイドの公表と法制定の議論動向



1. はじめに

現在世界各国において、サイバー攻撃等による情報漏えい事件が頻発しており、各国政府機関はその対応に追われている。日本においても、2015年6月に公表された日本年金機構の個人情報流出を受け、現在各省庁が連携してその対応にあたっているところである。

このような検討にあたって参考となる海外の検討動向として、本記事では、特に事業者がどのような観点でセキュリティ対策を実施すべきかに関して米国の連邦取引委員会(Federal Trade Commission: FTC)が2015年6月30日に公表した「セキュリティから始めよ:事業者向けのガイド」をもとに、今後の事業者のセキュリティ対策に求められる観点について紹介する。

2. FTCのセキュリティガイドの概要

FTCは2015年6月30日に「セキュリティから始めよ:事業者向けのガイド」を公表した1。本ガイドは、これまでのFTCのセキュリティに関連する50以上の法執行事例から、他の事業者等にも共通して求められるセキュリティ対策を10項目にまとめたものである。これら10項目の指針とその概要及びそれに関連する過去の法執行事例について以下にまとめる。

なお、下記でとりあげられているFTCの法執行の対象となった事案の根拠は、FTC法第5条違反である。すなわち、当該企業によるセキュリティ問題が、「商取引における又は商取引に影響を及ぼす不公正な競争方法、及び、商取引における又は商取引に影響を及ぼす不公正若しくは欺瞞的行為又は慣行」であるとし、法執行を行っている。下記でとりあげている事案の多くは、自社のサイトに記載されているプライバシーポリシー等に書かれているにも関わらずその対策が実際にはなされていないという理由で法執行されている。このFTCの法執行の根拠を踏まえて、以下の概要を確認頂きたい(FTCのセキュリティ事案に対する法執行に関する議論動向としては、「FTCはデータ保護規制機関であるべきか」を参照)。また、本法執行事例は、和解した事例も多数含まれており、全ての事例が罰則を受けたわけではない。

 

「セキュリティから始めよ:事業者向けのガイド」概要

(1) セキュリティから始める

企業は、自社が収集するデータの種別や保持期間、データへのアクセス権限設定を最初にセキュリティの中に組み込む。

セキュリティから始める

 

(2) データの機微性に応じたアクセス管理

企業ネットワークや機微データ、管理者権限へのアクセスを制限したりすることで、データを安全に保護するための合理的な対策を実施する。

データの機微性に応じたアクセス管理

 

(3) 安全なパスワードや認証を求める

個人情報を保護するため、企業は従業員に対して複雑でユニークなパスワードの利用を求め、パスワードは厳重管理し、ブルートフォース攻撃から防護し、認証メカニズムに基づき脆弱性に対処する。

安全なパスワードや認証を求める

 

(4) センシティブな個人情報を安全に管理し、通信時も防護する

企業はデータ種別や収集状況、データ処理手法に応じた技術を用いてセンシティブデータを暗号化する。

センシティブな個人情報を安全に管理し、通信時も防護する

 

(5) ネットワークを分割し、侵入者を監視する

企業はネットワークへの不正アクセスを防護・識別するためのファイアーウォールと侵入検知メカニズムを構築する。

ネットワークを分割し、侵入者を監視する

(6) ネットワークへのリモートアクセスを防護する

 もし企業が従業員や顧客、サービスプロバイダが自社ネットワークにリモートアクセスできるようにする場合、企業はアクセスポイントの合理的な安全性を確保する。

ネットワークへのリモートアクセスを防護する

 

(7)新製品開発にあたっては十分なセキュリティ対策を適用する

セキュリティはデザインから始める。企業は安全なコーディングをエンジニアに教育し、プラットフォームのセキュリティガイドラインに従い、プライバシーやセキュリティの影響を検証し、共通の脆弱性に関するネットワークのテストを実施する。

新製品開発にあたっては十分なセキュリティ対策を適用する

 

(8) サービス提供者が合理的なセキュリティ対策を実施していることを確認する

サプライチェーンは様々な情報セキュリティリスクを有する。これらリスクを軽減するために、企業はベンダーのセキュリティ対策や能力に関する適切な保証を確保できるようにしておく。

サービス提供者が合理的なセキュリティ対策を実施していることを確認する

 

(9) セキュリティが常に最新の状態になっているようにし、脆弱性に対処する

最新の脅威を見据えサードパーティのソフトウェアのアップデートやパッチを適用する。信頼できるセキュリティ勧告に注意することで、迅速に対処する。

セキュリティが常に最新の状態になっているようにし、脆弱性に対処する

 

(10) 紙や物理メディア、デバイスの安全管理

ネットワークセキュリティに適用される多くの教訓は紙記録や物理メディアに対しても適用される。企業は機微の紙資料を防護し、機微情報を含むデバイスを保護し、データ移転する際の安全な規定を維持し、機微データを安全に廃棄する。

紙や物理メディア、デバイスの安全管理

 

3. データセキュリティ及び漏えい通知法案

FTCは現在セキュリティ問題に対しても事業者に対して本ガイドラインの作成等を含め様々な助言を行っているが、これと平行してセキュリティ対策やデータ漏えい時の事業者の共通的な対応基準を定める法整備も求めている40。具体的には、現在議会にて審議されている「データセキュリティ及び漏えい通知法案(Data Security and Breach Notification Act of 2015) 41」の成立である。

本法案は、事業者に対して顧客の個人情報の保護やデータ漏えい時の対応に関する国家基準の策定を求めるもので、特に金融業界の企業が保有する顧客の口座情報等を収集・保管している事業者に対してデータを安全に管理すること及びデータ漏えい時の報告を義務付ける内容である。

なお、本法案に関しては2015年4月15日に下院エネルギー及び商業対策委員会において承認されたが、以降の審議はストップしている。この背景には、現在各州には既に同様の法律が制定されており、一部の州は本法よりも規制が厳しいこともあることから、本法によって一部の州では規制が弱まる可能性がある点や、本法には消費者の健康情報が対象に含まれていない点、金融業界からの反対などが問題視されているとの報道がなされている42

このように本法案はまだ様々な課題が残っていることもあり可決されるかどうかは不透明なところがあるが、米国内でも6月4日に人事管理局が不正アクセスされ職員や元職員の個人情報が流出した可能性があると公表されたこともあり、事業者にセキュリティ保護を求める規制強化の声も強い。実際に法案が成立した場合には、事業者に対してもセキュリティ対策が義務化されることから、どのような形で今後法案が修正されるのか注視する必要があるだろう。

4. まとめ

現在米国においても度重なるサイバー攻撃等による情報漏えい事件により、その対策強化に向けた取組も強化されてきている。米国の消費者行政を司るFTCも、上述の通り、事業者向けのガイド等を公表することで、事業者のセキュリティ対策の意識向上を促す取組を実施しているところであり、これら必要な対策がなされておらず問題が生じた場合には、FTC法第5条に基づき法執行を行っている。現在審議されているデータセキュリティ及び漏えい通知法案が可決した場合には、さらに包括的な義務規定が事業者には求められることとなり、事業者に求められる負担も大きくなることが予想される。

日本においても日本年金機構の情報流出事件を受けてその対応策が検討されているところであるため、このような米国の議論動向も参考に、どのような形でセキュリティ対策を強化していくかの検討が求められるといえるだろう。

※1 https://www.ftc.gov/tips-advice/business-center/guidance/start-security-guide-business

※2 https://www.ftc.gov/enforcement/cases-proceedings/1023120/rockyou-inc

※3 https://www.ftc.gov/enforcement/cases-proceedings/122-3077/accretive-health-inc-matter

※4 https://www.ftc.gov/enforcement/cases-proceedings/112-3095/forutm-international-corporation-matter

※5 https://www.ftc.gov/enforcement/cases-proceedings/072-3013/goal-financial-llc-matter

※6 https://www.ftc.gov/enforcement/cases-proceedings/092-3093/twitter-inc-corporation

※7 https://www.ftc.gov/enforcement/cases-proceedings/092-3093/twitter-inc-corporation

※8 https://www.ftc.gov/enforcement/cases-proceedings/062-3057/guidance-software-inc-matter

※9 https://www.ftc.gov/enforcement/cases-proceedings/102-3076/lookout-services-inc-matter

※10 https://www.ftc.gov/enforcement/cases-proceedings/052-3136/superior-mortgage-corp-matter

※11 https://www.ftc.gov/enforcement/cases-proceedings/072-3111-072-3158/valueclick-inc-hi-speed-media-inc-e-babylon-inc-us

※12 https://www.ftc.gov/enforcement/cases-proceedings/132-3089/fandango-llc

※13 https://www.ftc.gov/enforcement/cases-proceedings/132-3091/credit-karma-inc

※14 https://www.ftc.gov/enforcement/cases-proceedings/052-3096/dsw-incin-matter

※15 https://www.ftc.gov/enforcement/cases-proceedings/082-3153/dave-busters-incin-matter

※16 https://www.ftc.gov/enforcement/cases-proceedings/052-3148/cardsystems-solutions-inc-solidus-networks-inc-dba-pay-touch

※17 https://www.ftc.gov/enforcement/cases-proceedings/0723004/premier-capital-lending-inc-et-al-matter

※18 https://www.ftc.gov/enforcement/cases-proceedings/082-3208/settlementone-credit-corporation

※19 https://www.ftc.gov/enforcement/cases-proceedings/072-3069-x100023/lifelock-inc-corporation

※20 https://www.ftc.gov/enforcement/cases-proceedings/082-3153/dave-busters-incin-matter

※21 https://www.ftc.gov/enforcement/cases-proceedings/032-3209/mts-inc-et-al-matter

※22 https://www.ftc.gov/enforcement/cases-proceedings/122-3049/htc-america-inc-matter

※23 https://www.ftc.gov/enforcement/cases-proceedings/122-3090/trendnet-inc-matter

※24 https://www.ftc.gov/enforcement/cases-proceedings/122-3049/htc-america-inc-matter

※25 https://www.ftc.gov/enforcement/cases-proceedings/132-3089/fandango-llc

※26 https://www.ftc.gov/enforcement/cases-proceedings/132-3091/credit-karma-inc

※27 https://www.ftc.gov/enforcement/cases-proceedings/022-3260/guess-inc-guesscom-inc-matter

※28 https://www.ftc.gov/enforcement/cases-proceedings/032-3209/mts-inc-et-al-matter

※29 https://www.ftc.gov/enforcement/cases-proceedings/102-3116/upromise-inc

※30 https://www.ftc.gov/enforcement/cases-proceedings/072-3055/tjx-companies-inc-matter

※31 https://www.ftc.gov/enforcement/cases-proceedings/122-3049/htc-america-inc-matter

※32 https://www.ftc.gov/enforcement/cases-proceedings/132-3089/fandango-llc

※33 https://www.ftc.gov/enforcement/cases-proceedings/072-3067/navone-gregory

※34 https://www.ftc.gov/enforcement/cases-proceedings/072-3069-x100023/lifelock-inc-corporation

※35 https://www.ftc.gov/enforcement/cases-proceedings/122-3077/accretive-health-inc-matter

※36 https://www.ftc.gov/enforcement/cases-proceedings/112-3120/cbr-systems-inc-matter

※37 https://www.ftc.gov/enforcement/cases-proceedings/072-3121/rite-aid-corporation-matter

※38 https://www.ftc.gov/enforcement/cases-proceedings/072-3119/cvs-caremark-corporation-matter

※39 https://www.ftc.gov/enforcement/cases-proceedings/072-3013/goal-financial-llc-matter

※40 https://www.ftc.gov/public-statements/2015/03/prepared-statement-federal-trade-commission-discussion-draft-hr__-data

※41 https://www.congress.gov/bill/114th-congress/senate-bill/177

※42 ROLL CALL, “Despite Massive OPM Hack, Congress Continues to Stall on Data Breach Bill,” (2015/7/22)
http://www.rollcall.com/news/despite_massive_opm_hack_congress_continues_to_stall_on_data_breach_bill-242949-1.html
iHealthBeat, “Congress Fails To Make Progress on Data Breach Notification Bill,” (2015/7/23)
http://www.ihealthbeat.org/articles/2015/7/23/congress-fails-to-make-progress-on-data-breach-notification-bill

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS