この記事が少し気になりました。カリフォルニア州で新しい法案が審議中のようです。
www.engadget.com
新しい法案が法律になった場合、カリフォルニア州ではより包括的なデータ侵害の通知規則があるかもしれません。ゴールデンステートの司法長官、Xavier Becerra、およびAssemblymember Marc Levineは、パスポート番号とバイオメトリック情報が侵害された場合、企業に顧客への通知を要求します。Becerraの発表によると、2018年の大規模なスターウッドホテルのデータ侵害により、彼らは提案を喚起するよう求められました。このセキュリティ侵害は5億人ものゲストに影響を及ぼし、ハッカーはパスポート番号を含めて約3億2,700万件の個人記録を盗むことに成功しました。
Becerraが指摘したように、カリフォルニアは2003年にデータ侵害通知法を可決した最初の州であり、消費者の個人情報が盗まれたかどうかを企業に開示するよう要求しています。ただし、社会保障番号、運転免許証番号、クレジットカード番号、および医療および健康保険のデータのみが、その規則に基づく「個人情報」と見なされます。
(engadget記事より引用)※機械翻訳
◆キタきつねの所感
スターウッド系ホテル(Westinホテル等々)のデータ漏洩事件を受けて、カリフォルニア州では新しい法律が討議されている様です。現在の法律に加えて、パスポート番号と生体情報が漏洩した際に、顧客への通知を義務化する内容の様です。日本における個人情報保護法も個人情報の保護対応として、同内容がカバーされていますが、
参考:カリフォルニア州の消費者プライバシー法(個人情報保護法)※2020年1月施行予定
2018年6月成立、米国カリフォルニア州消費者プライバシー法の概要と日本企業に求められる対応 - BUSINESS LAWYERS
この法案は漏洩後の通知等の対応に紐づくものの様です。また、通知関連の法律は、一度改訂されている様です。
「カリフォルニア州は、2017年1月1日から個人情報漏洩時の通知義務法の一部改正法案AB2828を可決、施行」 - Financial and Social System of Information Security
企業は、漏洩事件の処置の経験がある弁護士、技術専門家、広報関係の支援者、ならびにしばしば規制面の要件などの考慮すべき事項につき迅速に取り組まねばならない。同時にこれらの仕事は、大きなプレッシャーのもとで達成されなければならない。たとえ同社が特定のタイミング要求を受けなかったとしても、企業はすぐに彼らの顧客、従業員や他の影響を受ける人に通知するよう努めなければならない。
(中略)
セキュリティ・システムの1回あたりの違反の結果として500人以上のカリフォルニア州の住民にセキュリティ違反通知書を交付することを要求されるいかなる個人またはビジネス企業は、個人識別情報を除き、そのセキュリティ違反通知につき1つの見本コピー形式により、州司法長官に電子的に提出しなければならない
(Financial and Social System of Information Security記事より引用)
内容を見ると、暗号化していたデータが漏洩した場合でも通知義務がある様ですし、関係当局への報告とユーザへの告知、問い合わせ対応、忘れる権利など、GDPRにも似た形で漏洩企業にとって(準備が出来てなければ)対応が大変な法律と言えるかも知れません。
まだ審議中法案の様であり、パスポート番号や生体情報という事ではありますが、個人情報漏えいに関する企業の対応は、全世界的に(日本も含め)どんどん厳しくなっていく気がします。日本企業は・・・GDPRでもバタバタしている印象で、セキュリティ対策、あるいは事後対応の体制構築にコストをかけているとはあまり思えません。
ですが、日本企業(特に海外進出している企業)にも影響が出てくる企業は多いかと思いますので、今のうちから準備を進めておく必要があるのではないでしょうか。
参考:
foxsecurity.hatenablog.com
更新履歴