目次:
米国では、包括的な連邦法はありませんが、さまざまな連邦および州のデータ侵害通知法があります。 2011年5月、オバマ政権は、連邦政府のデータ侵害通知要件を含む包括的なサイバーセキュリティ提案を議会に提出しました。 これにより、サイバーセキュリティが大幅に改善される可能性がありますが、2012年1月現在、連邦政府のデータ侵害通知法は可決されていません。 ここでは、データセキュリティと、侵害に対処するために設定されている法律について見ていきます。 (背景を読むには、「ITセキュリティの基本原則」を参照してください。)
連邦訴訟を起こす
米国連邦レベルでは、特定の種類のデータに対する違反通知を要求する法律とガイダンスがあります。医療保険の携行性と説明責任(HIPAA)法、および医療情報に関する経済情報と臨床健康に関する医療情報技術(HITECH)法、財務情報に関するGramm-Leach-Bliley法、および連邦政府機関が保有する個人情報に関するOffice of Management and Budget(OMB)ガイダンス。
HITECH法によれば、HIPAAの対象となる医療サービスプロバイダーは、健康情報が侵害された場合、「速やかに」患者に通知する必要があります。 違反が500人を超える個人に影響を与える場合、保健福祉省(HHS)およびメディアに通知する必要があります。 個人の健康情報のベンダーも同様の違反通知要件を持っていますが、HHSではなく連邦取引委員会に通知する必要があります。
Gramm-Leach-Bliley法に基づいて連邦銀行規制当局が発行したガイダンスによると、銀行またはその他の金融機関がデータ侵害に気付いた場合、情報が悪用されたか、または悪用される可能性を判断するために調査を実施する必要があります。 銀行が誤用が発生した、または合理的に可能であると判断した場合、影響を受ける顧客にできるだけ早く通知する必要があります。
法執行機関が通知が犯罪捜査に干渉すると判断した場合、顧客への通知は遅れることがあり、銀行に遅延の書面によるリクエストを提供します。 銀行は、通知が調査に干渉しなくなったらすぐに顧客に通知する必要があります。 ただし、銀行への困惑や不便のために通知を遅らせることはできません。
OMBのガイダンスによると、連邦政府機関は、発見/検出から1時間以内に個人を特定できる情報を含むすべてのデータ侵害を報告する必要があります。 ただし、機関は、機関外のデータ侵害の報告に関して裁量権を有しています。 彼らは、法執行機関、国家安全保障、または機関のニーズのために通知を遅らせることができます。
カリフォルニアの夢
州レベルでは、データ侵害通知に関する46の州法(およびコロンビア特別区)のパッチワークがあります。 カリフォルニア州は2002年に最初のデータ侵害通知法を制定し、他の多くの州法のモデルとして使用されています。
カリフォルニア州の法律では、企業は書面で「不当な遅延なしに」できるだけ早くデータ侵害を顧客に開示しなければなりません。 通知者または企業が、通知が250, 000ドルを超えるか、500, 000人を超える人々に影響を与えることを実証できる場合、主要な州全体のメディアへのWebサイトの投稿および通知という形の代替通知を使用できます。 この法律は、個人情報が暗号化されたデータ侵害の通知を免除しています。
ただし、カリフォルニアは、他の多くの州とは異なり、データ侵害を消費者に迅速に通知しなかった場合の罰則は含まれていません。 州議会の全国会議は、州データ侵害通知法のリストとそれらの法へのリンクを維持しています。
ヨーロッパまたはバスト
欧州では、EUは2009年のE-Privacy指令の修正でデータ侵害通知の要件を承認しました。 欧州連合加盟国は、2011年5月25日まで、国内法の改正を実施する必要がありました。
この改正は、「公に利用可能な電子通信サービスの提供者」に、重大な経済的損失と顧客への社会的危害をもたらす可能性のある個人情報の侵害について国家当局に通知することを要求します。 また、影響を受ける顧客には、「遅滞なく」違反を通知する必要があります。 通知には、企業が講じている対策に関する情報と、影響を受ける顧客に対する推奨処置を含める必要があります。
2012年には、電子通信サービスプロバイダーだけでなく、すべての企業が個人情報の侵害から24時間以内に各国当局および影響を受ける顧客に通知するという要件を含む、EUデータ保護指令の変更が予定されています。
EU E-Privacy Directiveよりも前の英国データ保護法には、企業がデータを保護するための包括的な要件がありますが、データ侵害通知の要件は含まれていません。
行為の実施を担当する英国情報局(ICO)は、企業が個人に潜在的な損害を与える可能性のある侵害として定義される重大なデータ侵害をICOに報告すべきだと述べています。 代理店は、英国企業が1, 000人以上の個人の暗号化されていない個人情報の侵害について通知することを期待すると述べた。 ICOは、影響を受けた消費者に知らせるのはその責任ではないと述べたが、「関係者の利益に明らかな場合、またはそうすることに対する公益の強い主張がある場合」に違反を公表することを推奨するかもしれない。
データ漏洩と報告
広く公表されたデータ侵害と世論の圧力に応えて、アメリカとヨーロッパの立法者と規制当局は、すべての企業がデータ侵害を国家当局と影響を受ける消費者に報告する要件を検討しています。 ただし、2012年1月の時点で、これらの取り組みのいずれも、米国または欧州連合のいずれにおいても包括的なデータ侵害通知法および規制をもたらしていませんでした。