現在アメリカで新しいデータ漏えい時の法律制定の動きがあり、クレジットエージェンシー(CRAs)に対し厳格な責任罰金(Liability penalties)が検討されていると1月11日のInfosecurityの記事がありました。
www.infosecurity-magazine.com
検討中の案
中でも注目すべき点は、1.4億件の個人情報が漏えいしたEquifax事件における試算で、新しい法律が施行されれば、1.5億ドル(約166億円)の罰金が科せられるというところでしょうか。
Most notably, it would impose mandatory financial penalties starting at $100 for every customer who has one piece of personally identifiable information (PII) compromised, with $50 per additional piece of PII. Half of the money collected would be used to compensate the victims.
まずPII情報を1つでも漏らしたら100ドル/人、PII情報追加毎に50ドル/人、、、という非常に厳しい内容となっています。勿論原案通りとはいかない可能性もありますが、欧州のGDPRの厳しい罰金を考えると、大幅な罰金が科せられる法案となって通る可能性は高いかも知れません。
"The financial incentives here are all out of whack – Equifax allowed personal data on more than half the adults in the country to get stolen, and its legal liability is so limited that it may end up making money off the breach,"
この法案が検討されている背景としては、全米国民の半分の個人情報を漏らしたEquifaxが、最終的に受ける法的なペナルティがあまりにも低すぎる(so limited)との認識があるようです。
These fines could rise even higher if there’s evidence of inadequate cybersecurity or delayed breach reporting.
適切で無いサイバーセキュリティ対策であると判明したり、データ流出の報告が遅れた場合は、罰金は引き上げられることが出来る、とありますので、『セキュリティを事業リスクとしてきちんと考えるべき』と経営者に向けたメッセージが強く込められていると言えます。
いずれにせよ、この法案の動きは米国でビジネス展開をしている日本企業だけでなく、(日本の法制化にも影響してくる可能性を考えると)ウォッチしていった方が良いかも知れません。
参考まで、NISTでのPII定義は、、日本で言う個人情報ですね。(氏名、国民番号、生年月日、生誕地、お母さんの旧姓、生体情報、医療、教育、金融、雇用情報等々)
PII is any information about an individual maintained by an agency, including (1) any information that can be used to distinguish or trace an individual‘s identity, such as name, social security number, date and place of birth, mother‘s maiden name, or biometric records; and (2) any other information that is linked or linkable to an individual, such as medical, educational, financial, and employment information.
更新履歴
