スキップしてメイン コンテンツに移動

カリフォルニア州は、2017年1月1日から個人情報漏洩時の通知義務法の一部改正法案AB2828を可決、施行

 

 米国のローファームJeffer Mangels Butler & Mitchell LLP (JMBM)から「カリフォルニア州は、2017年1月1日から個人情報漏洩時の通知義務法の一部改正法案AB2828を可決、施行」という記事が届いた。 

 カリフォルニア州は、2002年に米国で初の「データ漏洩通知法」 (注1) (注2)を可決して、その法律がアメリカ合衆国にデータ保護法の最前線に残ることを確実とするために、一貫して働いてきた。ジェリー・ブラウン州知事法案AB 2828 エド・チャウ(Ed Chau)議員が法案を起草)に署名したとき、カリフォルニア州は2016年9月13日に、この評判をさらに磨き上げた。この法律は、危殆化した個人情報を持つ企業の告知の必要条件に重要な変化をもたらすことによって、カリフォルニア州の「データ漏洩通知法(民法典1798.82条ほか)」を一部改正したものである。 

 AB 2828の改正前には、カリフォルニア州は他の大部分の州と同様、「暗号化された」情報が漏洩されたことを明らかにすることを企業に要求していなかった。AB 2828(注3)は、暗号化されたデータがその個人情報を読めたり使用が可能となる「暗号化キー(encryption key)」または「セキュリティ証明書(security credential)」と共に漏洩したときは、暗号化された情報が無権限の漏洩にあたるとして、2017年1月1日付けでその漏洩を通知することを企業に要求するものである。

  今回のブログは、カリフォルニア州司法省のリリースとJMBMのブログ記事を集約したかたちでまとめた。いずれにしても、IT技術の変化は激しい。迅速な法改正の例として、紹介するものである。 

1.従来の法律の暗号化データにおける通知適用の例外規定(いわゆるセーフ・ハーバー規定)の問題 

 暗号化された個人データに関する通知義務法の例外規定は、従来のカリフォルニア法の一部であった。しかし、それには潜在的に重大な欠陥があった。

 たとえば、ハッカーや他の犯罪者によって閲覧可能であったり、暗号化されたデータの暗号化キーが明らかになったとしても、企業は漏洩通知を影響を受けた個人にその旨の情報を提供する義務はなかった。換言すると、暗号化された情報が、実際は閲覧可能であったとしても、企業はその漏洩に事実を報告することは要求されていなかった。その結果、個人情報の漏洩が明らかにされなかった一部の個人が通知を受け取り、彼らの金融取引情報またはアイデンティティを保護するために適切な処置をとることはできなかった。 

 米プライバシー問題擁護団体である「電子フロンティア財団(Electronic Frontier Foundation:EFF」は、AB 2828を支持して、「AB 2828は、カリフォルニア州の現行のデータ漏洩通知義務法の重要な隙間を埋めた。不注意にも、解読パスワードを端末機器に付けたメモに加えて、泥棒は暗号化されたラップトップ自体を盗むかもしれない。または、泥棒は遠隔で暗号化されたデータを盗むかもしれず、セキュリティ証明書を得るために、後でソーシャル・エンジニアリング (注4)を使うかもしれない。これらと多くの他の状況では、不正行為者は、暗号化された個人情報とその暗号化データを解読する力を身につける。そのような状況では、データ主体である人々は、彼らが個人情報を不正使用している不正行為者の危険にさらされていると通知されなければならない」と述べた。 

2.カリフォルニア州司法省・司法長官サイトにみるデータ保護漏洩通知に係る法改正、施行と企業の新たな取組み課題 

(1) 改正法の内容

 カリフォルニア法は無権限の第三者が得たか、または得たと合理的に信じうる暗号化されていない個人情報についてすべてのカリフォルニア州の住民にでも通知することをビジネス企業または州機関に要求する(カリフォルニア州民法典1798.29条(a)[州の機関についての規定] (注5)、およびカリフォルニア州民法典1798.82条(a)[個人または企業についての規定] (注6)参照。 

(2) ビジネス事業者へのさらなる挑戦的課題 

 今回の漏洩通知法の一部改正は、企業にとって挑戦的な内容である。データ漏洩は「都合のいい」時間にめったに起こらない。そして、企業は、実際開示すべき一連の出来事かどうかを決定するために各種問題に対処しなければならない。 

 とりわけ、企業はどんな情報が敵陣からこっそり脱出されたかについて決定しなければならない。すなわち、1)被害者である個人の位置(location)はどこか、2)規制・監督機関および法執行当局にどのような通知を行うべきか、3)サイバー保険会社から求められる内容はどのようなものか、4)どのように、漏洩は修正されるべきか、などである。

 企業は、漏洩事件の処置の経験がある弁護士、技術専門家、広報関係の支援者、ならびにしばしば規制面の要件などの考慮すべき事項につき迅速に取り組まねばならない。同時にこれらの仕事は、大きなプレッシャーのもとで達成されなければならない。たとえ同社が特定のタイミング要求を受けなかったとしても、企業はすぐに彼らの顧客、従業員や他の影響を受ける人に通知するよう努めなければならない。 

 データ漏洩はめったに明らかとならないし、あるいは明確でない点を思い出されなければならない。最も難しい仕事の1つは、ある程度の信頼度をもって、どんな情報が漏洩したかを決定することである。ハッカーや他の悪人どもは、彼らの行動を隠すためにしばしばいろいろな処置をとるので、情報の個々の部分を決定するのが簡単でない場合がある。企業が「データ・キー」や「管理の証明書」が危うくされたかどうかを直ちに決定することができるかどうかは疑わしいといえる。 

 IT分野における異なる脅威(ransomware (注7)、lockerware  (注8)、スピアー・フィッシング(spear phishing)  (注9)など)の拡大は、AB 2828によって強要される変化と組み合わされた。回避不能なデータ漏洩に備える必要を補強すべきである。潜在的セキュリティ隙間を確認して、データ漏洩を防止するために最高の実践を行うためスタッフを教育訓練して、効果的データ漏洩プロトコルが存在することを確実しておくことは、法令遵守と不遵守の差となる。 

(3) 漏洩通知の具体的要件や具体的様式など

 セキュリティ・システムの1回あたりの違反の結果として500人以上のカリフォルニア州の住民にセキュリティ違反通知書を交付することを要求されるいかなる個人またはビジネス企業は、個人識別情報を除き、そのセキュリティ違反通知につき1つの見本コピー形式により、州司法長官に電子的に提出しなければならない(カリフォルニア州民法典1798.29条(e)[州の機関の場合] (注10)、およびカリフォルニア州民法典1798.82条(f)  (注11) [個人またはビジネス企業の場合]) 

A.あなたがビジネス企業または州機関である場合 

データ保護違反通知サンプルを提出するために、司法省のオンライン・フォームを使ってください。

  

(一部抜粋) 

B.あなたが州の居住者である場合 

 州民は司法省事務局に提出されて発表されたデータ漏洩事件をオンライン検索しうる。また、司法省への漏洩事実の告発様式により連絡しうる。 

a)司法省事務局に提出され公表されたデータ漏洩事件の検索画面

  

(一部抜粋) 

B)州民の漏洩事故に関する司法省へのオンライン告発登録画面

 

  (一部抜粋)

 

***************************************************************************************************** 

(注1) 改正法案(SB.1386:PEACE法案)は2002年9月25日に成立、施行は2003年7月1日施行された。

Senate Bill No. 1386は、カリフォルニア州の民法典第915節に1798.29条,1798.82条および1798.84条を追加する法案である。米国内で個人情報の漏洩時のデータ主体などへの通知義務を初めて定めたものとして有名である。 

(注2) 1事件あたりの漏洩通知の対象は、被害者数は500名以上の場合である。1798.29.条 (e) がその根拠規定である。

(e) Any agency that is required to issue a security breach notification pursuant to this section to more than 500 California residents as a result of a single breach of the security system shall electronically submit a single sample copy of that security breach notification, excluding any personally identifiable information, to the Attorney General. A single sample copy of a security breach notification shall not be deemed to be within subdivision (f) of Section 6254 of the Government Code.

 (注3) AB2828法案の要旨(SUMMARY)原文を引用する。

 Expands data breach notification law, which currently requires consumer notice for compromised unencrypted personal information, to include encrypted information if the encryption keys have also been compromised.  Specifically, this bill:  

1)Requires a public agency, person, or business that owns or licenses computerized data that includes personal information to notify any California resident whose encrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person, if at any time before or after the breach the encryption key or security credential has, or is reasonably believed to have been, acquired by an unauthorized person.

 2)Defines "encryption key" and "security credential" to mean any information that could be used by an unauthorized person to access or decrypt encrypted personal information contained in a data system.

 (注4) ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。ソーシャル・ワークとも呼称される。あるいはプライベートな集団や政府といった大規模な集団における、大衆の姿勢や社会的なふるまいの影響への働きかけを研究する学問である(社会工学)。元来は、コンピュータ用語で、コンピュータウイルスやスパイウェアなどを用いない(つまりコンピュータ本体に被害を加えない方法)で、パスワードを入手し不正に侵入(クラッキング)するのが目的(Wikipediaから抜粋、引用)

 次のような解説例もある。「人をだましてある行動をさせたり、内密の情報を漏らさせたりすること。通例、だます側とだまされる側が面と向かうことはなく、電話で別人になりすましたり、うその電子メールを送ったりすることをいう」 

(注5) CALIFORNIA CIVIL CODE 1798.29.条(a) の原文を引用する。

 (a) Any agency that owns or licenses computerized data that includes personal information shall disclose any breach of the security of the system following discovery or notification of the breach in the security of the data to any resident of California whose unencrypted personal information was, or is reasonably believed

to have been, acquired by an unauthorized person. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system.

 (注6) CALIFORNIA CIVIL CODE 1798.82.条(a) の原文を引用する。

(a) A person or business that conducts business in California, and that owns or licenses computerized data that includes personal information, shall disclose a breach of the security of the system following discovery or notification of the breach in the security of the data to a resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. The disclosure shall be made in the most expedient time possible and without unreasonable delay, consistent with the legitimate needs of law enforcement, as provided in subdivision (c), or any measures necessary to determine the scope of the breach and restore the reasonable integrity of the data system.

 (注7) ランサムウェア(Ransomware)とはマルウェアの一種である。これに感染したコンピュータはシステムへのアクセスを制限される。この制限を解除するため、被害者はマルウェアの作者にransom(身代金)を支払うよう要求される。数種類の形態のランサムウェアは、システムのハードディスクドライブを暗号化し(暗号化ウイルス恐喝)、また他の幾種類かは単純にシステムを使用不能にし、ユーザーに対して身代金を支払うようにそそのかすメッセージを表示する。(Wikipediaから一部抜粋)

Ransomware is a type of malware that prevents or limits users from accessing their system, either by locking the system's screen or by locking the users' files unless a ransom is paid. More modern ransomware families, collectively categorized as crypto-ransomware, encrypt certain file types on infected systems and forces users to pay the ransom through certain online payment methods to get a decrypt key.(Trend Microの解説 )

(注8) CryptoLockerについて多くの解説があるが、あえてKasperskyのサイトをリンクさせる。

 なお、対抗策なども記載されている。

2016.11.2 Kaspersky「How to protect against the CryptoLocker malware」

CryptoLocker is a malware which encrypts files on a computer and demands ransom for decrypting them. Files (documents, images, videos, etc.) are encrypted with a complex cryptographic code, which requires a key located on the malefactors' servers. As a rule, the ransom must be paid within the certain period of time, after which the decryption code claims to be deleted from the servers and restoring the files becomes impossible.

 (注9) 「スピア・フィッシング」とは、特定の人物を狙い、偽のメールを送ったりウイルスを仕込んだりしてパスワードや個人情報などを詐取する詐欺。もとは魚釣りの用語で、銛(もり)や水中銃で魚を突き刺す釣り方のこと。

 大手銀行のオンラインバンキングなど有名なサービスの不特定多数のユーザを狙う通常のフィッシングとは異なり、対象の素性を調査した上で、その個人に合わせた手法が個別に考案されるのが特徴である。例えば、大企業の支店に勤務する社員に「本社の情報システム部の者だが調査に必要なのであなたのパスワードを教えてほしい」といったメールを送り、だまされた社員から聞き出したパスワードを使ってその企業のネットワークに不正侵入するといった手が使われる。他にも、上司や取引先に成りすまして業務上の機密情報や知的財産を詐取するといった事例が報告されている。(IT用語辞典 から一部抜粋) 

(注10) 1798.29条(e)[州の機関の場合]の原文を引用する。

(e) Any agency that is required to issue a security breach notification pursuant to this section to more than 500 California residents as a result of a single breach of the security system shall electronically submit a single sample copy of that security breach notification, excluding any personally identifiable information, to the Attorney General. A single sample copy of a security breach notification shall not be deemed to be within subdivision (f) of Section 6254 of the Government Code.

 (注11) 1798.82条(f)[個人またはビジネス企業の場合]の原文を引用する。

(f) For purposes of this section, “breach of the security of the system” means unauthorized acquisition of computerized data that compromises the security, confidentiality, or integrity of personal information maintained by the agency. Good faith acquisition of personal information by an employee or agent of the agency for the purposes of the agency is not a breach of the security of the system, provided that the personal information is not used or subject to further unauthorized disclosure.

************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

コメントを投稿

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は...
コメントを投稿
続きを読む

米国連邦取引委員会(FTC)が健康製品に関する新しい拡大コンプライアンスガイダンスを発行

   2022年12月20日、米国連邦取引委員会(以下、FTCという)は、以前の 1998年のガイダンスである栄養補助食品:業界向け広告ガイド(全32頁) を改定および置き換える 健康製品等コンプライアンスガイダンス の発行を 発表 した。 Libbie Canter氏 Laura Kim氏  筆者の手元に Covington & Burling LLPの解説記事 が届いた。筆者はLibbie Canter氏、Laura Kim氏他である。日頃、わが国の各種メディア、SNS、 チラシ等健康製品に関する広告があふれている一方で、わが国の広告規制は一体どうなっているかと疑うことが多い。  FTCの対応は、時宜を得たものであり、取り急ぎ補足を加え、 解説記事 を仮訳して紹介するものである。 1.改定健康製品コンプライアンスガイダンスの意義  FTCは、ガイドの基本的な内容はほとんど変更されていないと述べているが、このガイダンスは、以前のガイダンスの範囲につき栄養補助食品を超えて拡大し、食品、市販薬、デバイス、健康アプリ、診断テストなど、すべての健康関連製品に関する主張を広く含めている。今回改定されたガイダンスでは、1998年以降にFTCが提起した多数の法執行措置から引き出された「主要なコンプライアンス・ポイント」を強調し、① 広告側の主張の解釈、②立証 、 その他の広告問題 などのトピックに関連する関連する例について具体的に説明している。 (1) 広告側の主張の特定と広告の意味の解釈  改定されたガイダンスでは、まず、広告主の明示的主張と黙示的主張の違いを含め、主張の識別方法と解釈方法について説明する。改定ガイダンスでは、広告の言い回しとコンテキストが、製品が病気の治療に有益であることを暗示する可能性があることを強調しており、広告に病気への明示的な言及が含まれていない場合でも、広告主は有能で信頼できる科学的証拠で暗黙の主張を立証できる必要がある。  さらに、改定されたガイダンスでは、広告主が適格な情報を開示することが予想される場合の例が示されている(商品が人口のごく一部をターゲットにしている場合や、潜在的に深刻なリスクが含まれている場合など)。  欺瞞やだましを避けるために適格な情報が必要な場合、改定されたガイダンスには、その適格...
コメントを投稿
続きを読む

米ノースカロライナ州アッシュビルの被告男性(70歳)、2,200万ドルのポンジ・スキーム(いわゆる「ねずみ講」)等を画策、実施した罪で17.5年の拘禁刑や1,700万ドル以上の賠償金判決

被告 Hal H. Brown Jr. 7 月 10 日付けで米連邦司法省・ノースカロライナ西部地区連邦検事局の リリース   が筆者の手元に届いた。 その内容は「 ノースカロライナ州アッシュビル住の被告男性 (Hal H. Brown Jr., 70 歳 ) は、 2,200 万ドル ( 約 23 億 5,400 万円 ) のポンジ・スキーム (Ponzi scheme : いわゆる「ねずみ講」 ) 等を画策、実施した罪で 17.5 年の拘禁刑 や 1,700 万ドル ( 約 18 億 1,900 万円 ) 以上の賠償金 の判決 を受けた。被告は定年またはそれに近い人を含む 60 人以上の犠牲者から金をだまし取ったとする裁判結果」というものである。 筆者は同裁判の被害額の大きさだけでなく、 1) この裁判は本年 1 月 21 日に被告が有罪を認め判決が出ているのにかかわらず、今時点で再度判決が出された利用は如何、さらに、 2)Ponzi scheme や取引マネー・ローンダリング (Transactional Money Laundering) の適用条文や量刑の根拠は如何という点についても同時に調査した。 特に不正資金の洗浄運び屋犯罪 (Money Mules) の種類 ( 注 1) の相違点につき詳細などを検証した。 さらに裁判官の連邦量刑ガイドラインや具体的犯罪の適用条文等の判断根拠などについても必要な範囲で専門レポートも参照した。 これらについて詳細に解析したものは、米国のローファームの専門記事でも意外と少なく、連邦検事局のリリース自体も言及していなかった。 他方、わが国のねずみ講の規制・取締法は如何、「ネズミ講」と「マルチ商法」の差は如何についてもその根拠法も含め簡単に論じる。いうまでもないが、ネズミ講の手口構成は金融犯罪に欠くべからざるものである。高齢者を狙うのは振込詐欺だけでなく、詐欺師たちは組織的にかつ合法的な似非ビジネスを模倣して、投資をはじめ儲け話しや貴金属ビジネスなどあらゆる違法な手口を用いている。 ( 注 2) 取締強化の観点からも、わが国の法執行機関のさらなる研究と具体的取り組みを期待したい。なお、筆者は 9 年前の 2011.8.16 に...
コメントを投稿
続きを読む