Last Updated:March 31,2021
2006年2月7日、ミネソタ州連邦地方裁判所で、金融取引における個人情報保護に関する基本法である「1999年グラム・リーチ・ブライリー法(Gramm-Leach-Bliley Act of 1999)」 (いわゆる金融制度改革法:GLB法)」が定める「顧客の非公開(non-public)の個人情報のセキュリティと機密性を保護する」という規定の解釈に関し、取扱い業者(自宅に持ち帰っていて)が盗難にあったPC内の顧客データについて、このようなデータ保管時に暗号化義務まで含むものではないとの司法判断 (注1)が下された(今まで実際の金銭的な被害は発生していない)。
被告が定めた顧客情報の保護に関する「セキュリティ・ポリシー」ならびに「適切な安全策」がなされていれば、暗号化されていなくても金融機関としての合理的な注意を払っているという判断である。原告は、前記「GLB法」の規定を根拠に暗号化義務および自宅(ファイナンシャル・プランナー)に持ち帰ったことを許容した企業の責任を追及したのであるが、裁判所は同法および同法施行規則、金融監督機関のセキュリティ・ガイドラインにおいて、そのような規定はないとの判断を下したのである。
米国の弁護士の中には、このような解釈に組しない者もいる。すなわち、次のような行政監督機関としての検討課題などを指摘している。
①GLB法501b条および連邦財務省通貨監督庁(OCC)などが共同で発布したセキュリティ・ガイドラインを受けて2005年3月29日に連名で発布された「顧客情報への無権限のアクセス被害および顧客への被害可能予告通知への対応プログラムに関する官庁共通ガイダンス(Interagency Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice)」(注2)の考えを注視すべきである。暗号化について、同法やガイドラインには絶対的な義務あるいは要求条件とはされていないが、ガイドラインでは銀行が自らより具体的な「適切な安全基準」を作ることも想定しているとも考えられよう。
②金融監督機関の規則やガイドライン制定時の意図は、明らかに銀行独自の判断で保存データの暗号化に取り組むと考えていたと信じる。その意味で、判決文の8頁の注書で「連邦取引委員会(FTC)は必ず個人情報取事業者に対して通信途上のデータの暗号化を強く求める一方で、HDなどでの保管(store)時についての規則を徹底しないと述べている点がさらに疑問である。
③加えての問題は、今回の判決でも引用された潜在的被害者への個人情報漏洩通知を厳格に義務付けているカリフォルニア州の法律に基づく通知費用の問題である。今回被害にあった(学生ローン会社)は私立探偵を使って55万人の顧客に個人信用情報機関に被害を報告するよう通知したのである。仮に暗号化されて保管されていたとすれば、このような無駄なコストが回避された可能性がある。
④今後、原告が控訴するのか、また他の被害者から起訴される可能性(風評リスクも含め)もあろう。
この弁護士(Kevin Funnell氏)のブログは今回初めて読んだのであるが、金融専門の弁護士だけあって視点が面白い。コメントを出したくなった。
********************************************************************************************::
(注1)判決文のURL:http://www.steptoe.com/assets/attachments/1942.pdf
(注2)http://edocket.access.gpo.gov/2005/pdf/05-5980.pdf
〔参照URL〕
http://www.banklawyersblog.com/3_bank_lawyers/2006/02/federal_distric.html
**************************************************************************
(今回のブログは2006年2月21日登録分の改訂版である)
Copyright © 2006-2010 芦田勝(Masaru Ashida). All rights Reserved.No reduction or republication without permission.
※コメント投稿者のブログIDはブログ作成者のみに通知されます