Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

米国新流出法(案) ー Equifaxのケースで166億円の罰金になる。

現在アメリカで新しいデータ漏えい時の法律制定の動きがあり、クレジットエージェンシー(CRAs)に対し厳格な責任罰金(Liability penalties)が検討されていると1月11日のInfosecurityの記事がありました。




Most notably, it would impose mandatory financial penalties starting at $100 for every customer who has one piece of personally identifiable information (PII) compromised, with $50 per additional piece of PII. Half of the money collected would be used to compensate the victims.


"The financial incentives here are all out of whack – Equifax allowed personal data on more than half the adults in the country to get stolen, and its legal liability is so limited that it may end up making money off the breach,"

この法案が検討されている背景としては、全米国民の半分の個人情報を漏らしたEquifaxが、最終的に受ける法的なペナルティがあまりにも低すぎる(so limited)との認識があるようです。

These fines could rise even higher if there’s evidence of inadequate cybersecurity or delayed breach reporting.






PII is any information about an individual maintained by an agency, including (1) any information that can be used to distinguish or trace an individual‘s identity, such as name, social security number, date and place of birth, mother‘s maiden name, or biometric records; and (2) any other information that is linked or linkable to an individual, such as medical, educational, financial, and employment information.




  • 2018年1月14日 AM(予約投稿)