データ保護

データ・プライバシー権侵害保護法に関する3つの最新動向

2020-03-10

記事をシェアする:

2019年に新しいプライバシー保護法が導入され、米国をはじめ世界中で現行法の多くが強化されました。一般データ保護規則 (GDPR) が完全に施行され、データ・プライバシー侵害の被害者を出した企業に多額の罰金が課せられるのを我々は目の当たりにしてきました。2020年を迎えた今、おそらく 2019年から引き継がれる最も重要な課題は、予防的な対応をとることであり、データ・プライバシー侵害のリスクを軽減するため、データ・プライバシー戦略を整えることが重要です。

プライバシーやサイバーセキュリティー関連の規制強化の要求が諸国で可決され、法規制は強化の一途をたどっています。カリフォルニア州消費者プライバシー法 (CCPA) のような米国の法律が大きな注目を集める一方、他の多くの諸国もそれぞれのデータ侵害通知法を積極的に改正して、より厳しい制限を盛り込んでいます。このことは、インシデント対応に関して言えば、大きな課題を提示することになります。IBMの依頼により実施された最近の調査でForresterが指摘しているとおり、台頭しつつあるデータ・プライバシー保護規制に準拠する能力に自信のある企業は、ほんの数社にすぎないことが分かっているためです。

2020 年にも留意すべき、2019年に世界中で見られたデータ・プライバシー保護規制に関する3つの傾向は、次のとおりです。

拡大された「個人情報」の定義
データ・プライバシー侵害報告義務期限の短縮化
監督官庁へのデータ・プライバシー侵害の報告に関する新たな規制

傾向 1:「個人情報」の定義の拡大

生体認証を使って一部の空港でセキュリティー・チェック時間を短縮していることや、小売業者が様々な種類のアカウント情報に対応した新しい支払回収方法を発表していることや、法執行機関が新しいテクノロジーを利用して個人を特定していることなどを、よく見聞きします。これらは、テクノロジーの進化により、革新が生まれている一方で、個人データの情報量が増え続けていることを示す、ほんの一例です。加えて、Forresterによれば、デジタル・デバイスの利用がかつてないほど増え、ビッグデータ分析は継続的に高性能化しています。そのため、「個人情報」の定義を拡大する必要性が明らかになってきました。

米国では、この1年間に、ニューヨーク州、ニュージャージー州、およびバージニア州が「個人情報」の定義の拡大を表明しました。ニュージャージー州の法律では、「個人情報」には、個人のオンライン・アカウントに付随するユーザー名、E メール・アドレス、パスワード、セキュリティー用の質問と答えも含まれる、と定義が拡大されました。ニューヨーク州の法律では、バイオメトリック・データ、セキュリティー・コードのないアカウント番号とクレジット/デビット・カード番号、ユーザー名、E メール・アドレス、パスワード、セキュリティー用の質問と答えも含まれる、と「個人情報」の定義が拡大されました。

さらに、バージニア州の法律では、パスポート番号または軍人 ID 番号も、個人名とともに開示される場合には含まれる、と「個人情報」の定義が拡大されました。他の州でも個人情報の定義が拡大されていく可能性が非常に高いことが見込まれます。ワシントン州では既に、「個人情報」の定義を拡大し、新しい通知要求を制定することを発表しています。2020年3月1日に発効されるワシントン州の「個人情報」の定義では、誕生日、電子記録に署名するための一意の秘密鍵、学生/軍事/パスワード ID番号、医療情報、生体認証情報、およびオンライン・ログイン資格情報も含まれる、と拡大されます。

サイバーセキュリティーやインシデント対応に関して言えば、「個人情報」の定義が進化していくことは、新たな課題をもたらします。例えば、異なる司法管轄区域では異なる定義を追跡する必要がある、インシデントが侵害に相当するかどうかが不確かである、管理すべきインシデントの数が増える、といった課題があります。この最後の課題は、以前は個人情報として捉えられていなかったデータが今では個人情報であるという現実から生じるものです。

傾向 2: データ・プライバシー侵害報告義務期限の短縮化

2019年、メーン州のデータ侵害通知法では、個人情報の侵害判明後 30日以内に、影響を受ける居住者に対して通知することが、企業に義務付けられました。以前の当該法では、こうした通知について特に期間は設けられていませんでした。別の例としてテキサス州での法改正があり、これは 2020年1月1日に発効されました。改正されたテキサス州法では、侵害判明後「不当な遅延」なく、60日以内に、侵害に関する通知を影響を受ける個人に送付することが、企業に義務付けられています。
テキサス州の事例は、期限短縮ならびに州規制当局による要求強化という 2020年の拡大傾向のほんの手始めに過ぎません。2020年3月1日に発効されるワシントン州法でも、以前 45日だった通知期限が 30日に短縮されます。上記の例が示すように、また 2019年に行われた IBM Security Resilient SOAR (Security Orchestration, Automation and Response) プラットフォームに対する更新で説明されるように、企業による侵害報告の期限を定める法定期間の短縮が米国の一部の州で制定されています。

短縮された期限を守ることは困難なことであり、危機的局面におかれたときはなお一層ですが、しかし、だからこそ、収集するデータの種類と収集の理由を組織が理解することが重要です。こうした基本的なことを理解することが、プライバシーやサイバーセキュリティーなどのリスク軽減のための対策を練り、対策を特定し、またチームをまとめる上で役立ちます。また、期限が短縮されてもそれに対応し、インシデントを効率的に解決するための準備を整えることができます。

傾向 3: 監督官庁へのデータ・プライバシー侵害の報告に関する新たな規制

人々はますますプライバシー権について認識し始めています。これを受け、米国の州司法当局などの監督官庁は、消費者保護の提唱や、有権者を保護するための法律の施行に、より積極的に動くようになってきました。一部の州では、監督官庁への迅速な通知を求めるデータ・プライバシー法を改正しています。こうした新たな規制は、すでに許容負荷を超えているセキュリティー・チームの混乱を招くおそれがあります。当局ごとに異なる規制があり、異なる書式で、異なるタイミングで提出することが求められるためです。

侵害に関する州司法長官への報告など、新たな報告義務を州法に定めた例としては、アーカンソー州、テキサス州、ワシントン州などがあります。2019年以降、アーカンソー州法では、1,000人以上が影響を受ける場合に州司法当局への通知が義務付けられました。2020年以降、テキサス州司法当局への通知は、少なくとも250名以上のテキサス州居住者に影響が及ぶ侵害であることを条件として、侵害判明後60日以内と定められました。さらに、ワシントン州法では、司法当局への通知が義務付けられた情報のうち、通知提出時に不明な情報があった場合は、更新版の通知を司法当局に提出することが企業に義務付けられる予定です。

米国の州におけるプライバシー法改正だけでなく、世界中の他の国でも、新たに特定の報告を義務付ける新しい規制が定められています。2019年、セルビアとタイをはじめ、世界の多くの規制機関が GDPR ガイドラインをテンプレートとして利用して、新たなデータ・プライバシー法を施行しました。セルビアは現在、GDPRと同様、データ管理機関に対し、データ侵害を72時間以内にセルビア・データ保護当局に通知することを義務付けており、データ侵害が個人の権利と自由に対する高リスクとなる可能性がある場合は、個人への通知も義務付けられる予定です。データ処理機関も、データ侵害が発生した場合は、関連のデータ管理機関への通知が義務付けられています。
2019年5月27日、タイ政府は、個人情報保護法 (PDPA) を発表しました。この法律が実施され、企業が2020年5月27日までにコンプライアンスを実践するための猶予期間は1年です。このPDPAには、(直接的または間接的に個人を特定できるあらゆる情報であるとする) 幅広い「個人データ」の定義が採択されているとともに、製品やサービスをタイ国内の個人に提供しているか、またはタイ国内の個人の行動を監視しているタイ国外の組織にも義務を拡大する、城外適用範囲が採択されています。また、このPDPAには、他の各種プライバシー管理体制との一貫性のある、「管理機関」および「処理機関」という概念も採択されています。

2020年以降のデータ・プライバシー

2020年から2022年までに、インド、スイス、ブラジルといった国は、より厳格なガイドラインをデータ・プライバシー法に盛り込むことを既に発表しており、プライバシー法の進化に拍車がかかりそうです。したがって、こうした米国ならびに世界の法律で報告義務内容や適用範囲の拡大が進むにつれ、組織はそのような変化に対応するため、基準や運用方法の見直しを迫られることになり、こうした法律や規制の動向を追跡するための自動化プロセスの活用も視野に入れることが有用です。この複雑で移り変わりの速い規制環境に追随しようとする組織なら、SOARソリューションのメリットを享受できます。SOARは、データ・プライバシー関連の報告義務に関する最新情報を一元管理し、セキュリティー運用センター (SOC) にとどまらず、プライバシーの専門家や、法務チーム、より広範なビジネスまでも含めて、対応プロセスのオーケストレーションを支援するソリューションです。

SOAR (Security Orchestration, Automation and Response) について

お客様自身が欧州連合の一般データ保護規則を含む各種法令を遵守するために必要な措置を講ずるのはお客様の責任です。お客様のビジネスに影響を及ぼす可能性のある関連法令の特定およびそれらの解釈、ならびにかかる関連法令を遵守するためにお客様が講ずるべき必要措置に関する助言は、お客様の責任により適格な弁護士から得るものとします。本書に記載の製品、サービス、および他の機能が、すべてのお客様の状況に適しているとは限らず、使用する際に制約を受ける場合があります。IBM は法律上、会計上もしくは監査上の助言を提供することはいたしませんし、また、IBMの製品またはサービスが、お客様においていかなる法を遵守していることの裏付けとなることを表明し、保証するものでもありません。

IBMサイバーセキュリティー・オーケストレーション & オートメーション（SOAR）推進支援サービスの詳細はこちら

煩雑なインシデント対応は自動化で“クールな”業務になる

【お問い合わせ】
メールでのお問い合わせはこちらから