スキップしてメイン コンテンツに移動

FRB等連邦金融監督機関が中小金融機関向け「情報セキュリティ・ガイドライン遵守ガイド」を公表

  


 Last Updated : March 28,2021

2005年12月14日に米国連邦準備制度理事会(FRB)、連邦預金保険公社(FDIC)、連邦財務省通貨監督庁(OCC)、貯蓄機関監督局(OTS)は連名で標記ガイドを公表した。FDICのリリース(FDIC-PR-127-2005)の内容は以下のとおりである。

 「情報セキュリティ・ガイドライン」はグラム・リーチ・ブライリー法(Gramm-Leach-Bliley Act (GLB Act)501条b項および「2003年公正適正信用取引法(Fair and Accurate Credit Transactions Act of 2003 (FACT Act) 216条を根拠とするもので、金融機関における顧客情報の安全性、機密性、適切性および適切な廃棄処分を確立するため、管理面、技術面、物理面からセキュリティ対策を定めたものである。

 本遵守ガイドは、金融機関が取り扱う個人情報の保護についてなすべき義務の内容を要約し、また個別の状況下において「情報セキュリティ・ガイドライン」の規定をいかに適用するかにつき説明するものである。

 すなわち、本ガイドは金融機関が、①漏洩等リスクのアセスメント、②情報セキュリティ・プログラムの設計・適用、③消費者や顧客の個人情報の適切な処分、④顧客情報に対する違法なアクセス事故・犯罪への対応、⑤顧客情報にアクセス可能なサービス・プロバイダーの監督について、ガイドラインで定める中心的な用語の詳細を解説するものである。

 なお、本ガイドはセキュリティ・ガイドラインを代替するものではない。金融機関がセキュリティ・ガイドラインのもとでの義務の内容のみを定めるもので、顧客の記録や情報を保護するための方針や実践に関する連邦法、州法その他諸規則の適用を目的とするものでない。

添付資料「Interagency Guidelines Establishing Information Security Standards:Small -Entity Compliance Guide 」中小金融機関における情報セキュリティ規格の確立のための関係省庁共通ガイド

〔ガイドの項目〕
1. 序論
(1)本ガイドの目的と範囲
(2)セキュリティ・ガイドライン策定の法的背景と概要
(3)セキュリティ・ガイドラインとプライバシー保護に関する各種規則の区分

2. セキュリティ・ガイドラインで使用される重要用語
(1)顧客情報
(2)顧客情報システム
(3)情報セキュリティ・プログラム
(4)サービス・プロバイダー

3. 情報セキュリティ・プログラムの開発と提供
(1)合理的に予見できる内部・外部からの脅威の特定
(2)特定された脅威の見込みと潜在的損害の査定
(3)方針と手続き十分な調査
(4)リスクアセスメントを行うための社外コンサルタントの採用
(5)進行中のリスクアセスメントのプロセスへの関与

4. セキュリティ・コントロールの設計
(1)対応プログラムの開発と適用
(2)顧客への通知に関する環境
(3)暗証番号等顧客の機微情報の意義

5.担当者の教育

6.テストについての主要なコントロール

7.サービス・プロバイダーの監督
(1)サービス・プロバイダーとの契約締結
 (2)サービス・プロバイダーの業務のモニタリング

8.セキュリティ・プログラムの調整

9.取締役会に対する責任と報告
 (付属資料:参考となる関係機関)


******************************************************************

(以下の部分は2010年10月22日現在、白紙であるが、適正な委託先が見つかればあらためて検討したい)

 標記ガイドは現在仮訳(要約)作業中であり、訳文を希望される方は次のメールアドレスまでご連絡いただければ後日当方から通知する予定である。

 なお、従来本ブログで取り上げてきたテーマについて、今後は詳細版は別途メーリングリスト登録者(当分の間、無料)のみ通知する方式に変更するので、詳細資料版を希望される方は個人、法人を問わず下記内容を記入のうえ申し込んでいただきたい。また、登録いただいた内容については、個人情報保護法ならびに関係省庁のガイドラインに基づき「×××」が善良なる管理者の注意義務を厳格に履行し、ブログ情報の発信のみに利用すること、ならびに第三者へ情報提供を行わないこととする。
(1)本件 欄:メーリングリスト申込
(2)本文:①登録希望メールアドレス
②法人の場合:企業名(フリガナ)
個人の場合:姓名(フリガナ)

******************************************************************

(今回のブログは2005年12月15日登録分の改訂版である)

Copyright © 2005-2010 芦田勝.All Rights Reserved.No reduction or republication without permission.

コメント

コメントを投稿

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は...
コメントを投稿
続きを読む

米国連邦取引委員会(FTC)が健康製品に関する新しい拡大コンプライアンスガイダンスを発行

   2022年12月20日、米国連邦取引委員会(以下、FTCという)は、以前の 1998年のガイダンスである栄養補助食品:業界向け広告ガイド(全32頁) を改定および置き換える 健康製品等コンプライアンスガイダンス の発行を 発表 した。 Libbie Canter氏 Laura Kim氏  筆者の手元に Covington & Burling LLPの解説記事 が届いた。筆者はLibbie Canter氏、Laura Kim氏他である。日頃、わが国の各種メディア、SNS、 チラシ等健康製品に関する広告があふれている一方で、わが国の広告規制は一体どうなっているかと疑うことが多い。  FTCの対応は、時宜を得たものであり、取り急ぎ補足を加え、 解説記事 を仮訳して紹介するものである。 1.改定健康製品コンプライアンスガイダンスの意義  FTCは、ガイドの基本的な内容はほとんど変更されていないと述べているが、このガイダンスは、以前のガイダンスの範囲につき栄養補助食品を超えて拡大し、食品、市販薬、デバイス、健康アプリ、診断テストなど、すべての健康関連製品に関する主張を広く含めている。今回改定されたガイダンスでは、1998年以降にFTCが提起した多数の法執行措置から引き出された「主要なコンプライアンス・ポイント」を強調し、① 広告側の主張の解釈、②立証 、 その他の広告問題 などのトピックに関連する関連する例について具体的に説明している。 (1) 広告側の主張の特定と広告の意味の解釈  改定されたガイダンスでは、まず、広告主の明示的主張と黙示的主張の違いを含め、主張の識別方法と解釈方法について説明する。改定ガイダンスでは、広告の言い回しとコンテキストが、製品が病気の治療に有益であることを暗示する可能性があることを強調しており、広告に病気への明示的な言及が含まれていない場合でも、広告主は有能で信頼できる科学的証拠で暗黙の主張を立証できる必要がある。  さらに、改定されたガイダンスでは、広告主が適格な情報を開示することが予想される場合の例が示されている(商品が人口のごく一部をターゲットにしている場合や、潜在的に深刻なリスクが含まれている場合など)。  欺瞞やだましを避けるために適格な情報が必要な場合、改定されたガイダンスには、その適格...
コメントを投稿
続きを読む

米ノースカロライナ州アッシュビルの被告男性(70歳)、2,200万ドルのポンジ・スキーム(いわゆる「ねずみ講」)等を画策、実施した罪で17.5年の拘禁刑や1,700万ドル以上の賠償金判決

被告 Hal H. Brown Jr. 7 月 10 日付けで米連邦司法省・ノースカロライナ西部地区連邦検事局の リリース   が筆者の手元に届いた。 その内容は「 ノースカロライナ州アッシュビル住の被告男性 (Hal H. Brown Jr., 70 歳 ) は、 2,200 万ドル ( 約 23 億 5,400 万円 ) のポンジ・スキーム (Ponzi scheme : いわゆる「ねずみ講」 ) 等を画策、実施した罪で 17.5 年の拘禁刑 や 1,700 万ドル ( 約 18 億 1,900 万円 ) 以上の賠償金 の判決 を受けた。被告は定年またはそれに近い人を含む 60 人以上の犠牲者から金をだまし取ったとする裁判結果」というものである。 筆者は同裁判の被害額の大きさだけでなく、 1) この裁判は本年 1 月 21 日に被告が有罪を認め判決が出ているのにかかわらず、今時点で再度判決が出された利用は如何、さらに、 2)Ponzi scheme や取引マネー・ローンダリング (Transactional Money Laundering) の適用条文や量刑の根拠は如何という点についても同時に調査した。 特に不正資金の洗浄運び屋犯罪 (Money Mules) の種類 ( 注 1) の相違点につき詳細などを検証した。 さらに裁判官の連邦量刑ガイドラインや具体的犯罪の適用条文等の判断根拠などについても必要な範囲で専門レポートも参照した。 これらについて詳細に解析したものは、米国のローファームの専門記事でも意外と少なく、連邦検事局のリリース自体も言及していなかった。 他方、わが国のねずみ講の規制・取締法は如何、「ネズミ講」と「マルチ商法」の差は如何についてもその根拠法も含め簡単に論じる。いうまでもないが、ネズミ講の手口構成は金融犯罪に欠くべからざるものである。高齢者を狙うのは振込詐欺だけでなく、詐欺師たちは組織的にかつ合法的な似非ビジネスを模倣して、投資をはじめ儲け話しや貴金属ビジネスなどあらゆる違法な手口を用いている。 ( 注 2) 取締強化の観点からも、わが国の法執行機関のさらなる研究と具体的取り組みを期待したい。なお、筆者は 9 年前の 2011.8.16 に...
コメントを投稿
続きを読む