10月25日、FTCは個人情報漏洩への対応に関し、民間企業のための新たなガイダンスを公布するとともにブログやビデオを公表した。今回のFTCの情報漏洩時の対応ガイダンスは、2015年6月のFTC「セキュリティで始まる:情報セキュリティ・ガイダンス(“Start with Security” data security guidance)」 (注1) (全20頁) の発行に引き続き最近のFTCが取り組んでいる「情報漏洩」や「サイバーセキュリテイ」 (注2)に関する教育と支援活動の上に構築されたものである。今回のFTCの情報漏洩対応ガイダンスは、主として、(1)安全なシステム、(2)データの漏洩につながった脆弱性に対処し、(3)適切な当事者に通知する、という3つの手順に焦点を当てている。
一方、ホワイトハウスのオバマ政権が従来から力を入れてきた官民サイバーセキュリティ情報共有とプライバシー強化 法案と関連立法化動向に関連して連邦通信委員会(FCC)も2016年4月1日、ブロードバンド・インターネット接続サービスプロバイダ(broadband internet access service providers:「BIASプロバイダー」という)のプライバシー実務を統治するために大いに期待された「規則制定提案告示(Notice of Proposed Rulemaking (以下「NPRM」という」(全147頁)の発表とコメントを求めるべく、リリースした。そのNPRMに対するコメント期限は2016年5月27日の予定で、コメント回答期限は2016年6月27日の予定であったが、11月27日に最終規則案を採択、公表した。
本ブログは、”Covington & Burling LLP” のアソシエイトであるカレブ・スキース(Caleb Skeath)のブログ「データ漏洩時の対応のためのFTCの新ガイダンス(FTC Issues Guidance for Responding to Data Breaches )」をベースとして仮訳して、同時にFTC資料等に基づき補足するものである。
なお、今回はFTCの「情報漏洩対応ガイダンス」のみ取り上げ、FCCのNPRMについては、別途取りまとめる。
1.更なる被害拡大からのシステムとデータの保護
システムの安全性を確保し、以降のデータの紛失を阻止するために、FTCは民間企業に弁護士や独立した法科学(デジタル・フォレンジック)の専門家(forensic experts)を含む漏洩対応チームの組成を勧奨する。本ガイダンスは、さらに被害にあった企業のシステムやデータへの物理的および論理的なアクセスの両方を確保することを勧奨するが、そうするためにはさらなる分析のために利用可能な任意の法医学的証拠を保存することを勧奨する。また、FTCはこのような調査は法的権限の下で行うことができることは認めていないが、(1)事件に関与した個人へのインタビューや(2)その後の調査内容の文書化を助言する。最後に、FTCは、他のウェブサイトで個人特定情報(personally identifiable information:PII)の存在を探索し、それを削除するためにこれらのウェブサイトを尋ねるなど、インターネットからの漏洩に関与したPIIをよく擦ることを示唆している。
2.脆弱性の根本原因への対処
FTCは、漏洩事故が発生した事業体が漏洩の再発を防止するために、違反を引き起こした可能性のある脆弱性を修正(remediate)することを勧奨する。この目的を達成するために、FTCは、特に具体的なアクセスの解析、事業体の保有データの保護ならびに是正措置を実施するため、できるだけ早く専門家分析を実行するために法科学の専門家と協力することを提案した。また、FTCはセグメンテーションが漏洩を含む点で有効であり、または更新すべきと決断するなら、企業の「ネットワーク・セグメンテーションーン」(注3) (この問題は最近時FTCが焦点を当てている問題で、前述の“Start with Security”に遡ぼって確認されたい)を評価すべき点を支援した。
また、本ガイダンスは、(1)企業のシステム環境への第三者のアクセスに十分配慮し、(2)このようなアクセスがもはや不要になったときに必要な調整を行うこと、また、(3)そのような第三者が漏洩を助長した可能性のある脆弱性を修復しているかどうかを確認するよう勧奨している。
3.ステイク・ホルダー(情報主体等利害関係者)への通知
FTCは、法執行機関、消費者およびその他の事業者を含め、すべての適切な当事者に通知することを民間企業に助言する。その出発点として、FTCは、従業員、顧客、投資家およびビジネスパートナーを含むすべての利害関係者に手を差し伸べるだろうコミュニケーション計画を開発すること、また情報を通信するための組織内での接触点を指定するよう助言する。 情報主体たる個人に通知する前に、FTCは、その通知のタイミングと目下進行中の法執行機関の捜査に関し相談することを勧奨する。FTCのガイダンスは、カリフォルニア州の漏洩通知法(カリフォルニア州民法典(Civil Code:Section 1798.82) (注4) に記載されている多くの要件をまねたモデル漏洩通知文書を含む。また、 FTCは、PIIが漏洩によって露出された場合、特に金融取引情報や社会保障番号が露出された場合は特に、企業は少なくとも1年間は無料のExperian等による信用情報に提供((free credit monitoring)るよう示唆している。 (注5)
本ガイダンス自体が認めているように、事業体がデータ漏洩への対応に必要な手順は、場合によって異なるため、FTCが推奨する特定の手順は、すべての漏洩に該当しないことがありうる。また、FTCの本ガイダンスはデータ漏洩事故対応のための包括的なハンドブックではなく、必ずしもそれが違反が発生した後に確かに行動するための推奨事項に限定されており、予防の手順を扱っていないように、個人データを伴わない他の漏洩事件にむけて事前に事業体がとるべき潜在的なデータ漏洩のために準備する事件は対象外である。本ガイダンスは、読者に「セキュリティで始まる:情報セキュリティ・ガイダンス」などFTCが発行する他のデータセキュリティガイド等の参照するよう命じる。しかし、過去も現在のFTCガイダンスは、漏洩の対応計画に含まれるべきものとして重要な予防手順に関する詳細な推奨事項が含まれており、とりわけ、(1)当該漏洩事故が既存の保険契約でカバーされているか、または(2)その他の規制や法的リスクに対処することによってカバーされているかどうかを含んでいる。それでもなお、今回のFTCのデータ漏洩対処ガイダンスは、FTCがデータ漏洩事件につき何を事業体に期待するかを理解するために役立つ道標といえる。
*********************************************************************
(注1) 情報通信総合研究所 研究員 藤井 秀之「米FTCによる企業向けセキュリティガイドの公表と法制定の議論動向」は、FTCの“Start with Security”の概要を翻訳、解説している。リンクURLも網羅的に張られている。特に、以下の部分の解説は有意義である。
3. データセキュリティ及び漏えい通知法案
FTCは現在セキュリティ問題に対しても事業者に対して本ガイドラインの作成等を含め様々な助言を行っているが、これと平行してセキュリティ対策やデータ漏えい時の事業者の共通的な対応基準を定める法整備も求めている。具体的には、現在議会にて審議されている「データセキュリティ及び漏えい通知法案(Data Security and Breach Notification Act of 2015) 」(https://www.congress.gov/bill/114th-congress/senate-bill/177)の成立である。
本法案は、事業者に対して顧客の個人情報の保護やデータ漏えい時の対応に関する国家基準の策定を求めるもので、特に金融業界の企業が保有する顧客の口座情報等を収集・保管している事業者に対してデータを安全に管理すること及びデータ漏えい時の報告を義務付ける内容である。
なお、本法案に関しては2015年4月15日に下院エネルギー及び商業対策委員会において承認されたが、以降の審議はストップしている。この背景には、現在各州には既に同様の法律が制定されており、一部の州は本法よりも規制が厳しいこともあることから、本法によって一部の州では規制が弱まる可能性がある点や、本法には消費者の健康情報が対象に含まれていない点、金融業界からの反対などが問題視されているとの報道がなされている。(ROLL CALL, “Despite Massive OPM Hack, Congress Continues to Stall on Data Breach Bill,” (2015/7/22)
・http://www.rollcall.com/news/despite_massive_opm_hack_congress_continues_to_stall_on_data_breach_bill-242949-1.html
・iHealthBeat, “Congress Fails To Make Progress on Data Breach Notification Bill,” (2015/7/23)
・http://www.ihealthbeat.org/articles/2015/7/23/congress-fails-to-make-progress-on-data-breach-notification-bill)
このように本法案はまだ様々な課題が残っていることもあり可決されるかどうかは不透明なところがあるが、米国内でも6月4日に人事管理局が不正アクセスされ職員や元職員の個人情報が流出した可能性があると公表されたこともあり、事業者にセキュリティ保護を求める規制強化の声も強い。実際に法案が成立した場合には、事業者に対してもセキュリティ対策が義務化されることから、どのような形で今後法案が修正されるのか注視する必要があるだろう。
(注2) 2016.8.31 FTC「The NIST Cybersecurity Framework and the FTC」等をさす。
(注3) 文字通りネットワークセグメンテーションとは、ネットワークをセグメント化(分割)することです。ネットワークセグメンテーションと聞いて、「すでにVLANなら使っている。なにをいまさら」と思われたかも知れません。そもそもVLANはネットワークを分割することによりネットワークの混雑を避けるために導入されました。セキュリティの強化はあくまで副次的なものです。外(インターネット)は危険、中(組織内)は安全と認識されていたためです。しかし企業内個人がターゲットとなる攻撃も増えていますし、内部犯行による情報流出も考えられます。これからは「セキュリティの為のセグメンテーション」という考え方が必要です。
セグメント化のメリットを知るためにセグメント化しない場合を考えてみたいと思います。1つの組織でネットワークが1つの場合、そのネットワークに、すべての部署がつながり、子会社や関連企業がつながります。契約社員や来客も同じネットワークです。
接続するデバイスは多様化していて、デスクトップやノートPCだけではなく、 タブレットやスマートフォンなどのモバイルデバイスも組織のネットワークにつながります。モバイルデバイスは組織が所有するモノだけではなく、個人として所有するデバイスも含まれます。これは私物端末の業務利用(BYOD)と呼ばれ、組織として禁止するのか、奨励するのか、受け入れる場合セキュリティをどう確保するのかが多くの組織で課題になっています。
また組織では経理、特許、事業計画、社員情報、顧客情報など業務上の機密がほぼすべて電子化されネットワーク上に置かれています。
これらの人、デバイス、情報が1つのネットワークにあると、なにかセキュリティ上の問題が起こった場合、すべてに影響を与えます。投資でよく言われるリスクを分散させた方がよいという格言「卵は1つのカゴに盛るな」は、セキュリティにも当てはまると言えるでしょう。
ネットワークを分割することにより、攻撃対象が全組織からセグメント単位になります。万が一外部から侵入されてしまった場合でも、そのセグメントだけの影響にとどまり影響が少なくなるのです。(2013.11.11 ZDnet Japan 解説:これからのネットワークのセグメント化--「ネットワークは1つのカゴに盛るな」
(注4) カリフォルニア州民法典の情報漏洩時の通知義務規定
Civil Code - CIV
DIVISION 3. OBLIGATIONS [1427 - 3272.9] ( Heading of Division 3 amended by Stats. 1988, Ch. 160, Sec. 14. )
PART 4. OBLIGATIONS ARISING FROM PARTICULAR TRANSACTIONS [1738 - 3273] ( Part 4 enacted 1872. )
TITLE 1.81. CUSTOMER RECORDS [1798.80 - 1798.84]
(注5) 筆者のブログ「オバマ大統領の官民サイバーセキュリティ情報共有とプライバシー強化 法案と関連立法化動向(その3完)」でFTCのガイダンスの背景を詳しく解説した。
***********************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
