米国のセキュリティ侵害開示法、まだ浸透せず

Kevin Poulsen（SecurityFocus)
2003年10月28日 09:27 GMT

　コンサルタントは仕事でセキュリティ侵害開示法を駆使し、弁護士はその法律に関する講義行う。また、ワシントンでは、連邦立法案のモデルとして使用されてきた。しかし、同法律が施行されておよそ 4ヶ月経ったものの、カリフォルニア州法であるセキュリティ侵害開示法が実際に執行されているのを未だ見たことがない。

「我々のオフィスではその法律が執行された例をまだ知らないし、またその法律を適用した地方検事や地方検事局、民間組織なども知らない。つまり、消費者に通知されなかったセキュリティ侵害はなかったということだろう」とカリフォルニア州検事総長 Bill Lockyer 氏の広報担当 Hallye Jordan 氏は語った。

　SB 1386 と呼ばれる同法律は、昨年の 9 月に法案が可決され 7月1日に施行された。同法律は、オンラインでビジネスを行う企業に対して消費者の個人情報がセキュリティ侵害に晒された可能性がある場合、企業は "最も適切と思われる時に" 消費者に通知するよう義務付けるというものだ。個人情報は、消費者の名前、社会保障番号、自動車運転免許証の番号、クレジットカード番号や銀行口座番号などが含まれる。同法律は、州の当局者により執行され、企業が消費者への通知を怠った結果、消費者が詐欺もしくは ID 窃盗の被害に遭った場合、消費者は損害賠償の訴訟を起こすことができる。弁護士は、カリフォルニア州住民の個人情報が露呈された時はいつでも、電子商取引を行っている全米の企業に対して同法律は適用されると警告した。

　しかし観測筋は、SB 1386 はセキュリティ侵害開示の水門を開けていない、と指摘する。「従って、私は通知を行っている例をそう多くは知らない。私は、企業がこの法律をちゃんと認識していないか、あるいは軽視していると推測する」と米国法曹協会のサイバーセキュリティ対策委員会の Scott Pink 副会長は述べた。

「通知を行っている者など誰もいない、と断言できる。この法律が現時点で、効果的であるとは思えない。消費者は未だ、何も知らされていない」と CardCops.com の Dan Clements 氏は言う。

　Clements 氏は消費者に有料通知サービスを提供している。そのサービスとは、クレジットカード窃盗犯らが頻繁に参加するチャットルームや Web サイトで顧客の情報を見つけた場合、顧客に知らせるというものだ。同氏が盗まれたクレジットカード情報を追跡した結果、今月だけで 5 箇所の異なるオンライン商店でセキュリティ侵害が発生していたことをつき止めた。商店の規模は、中規模から家族経営のような小規模サイズまで様々だった。同氏が個人情報が盗まれた顧客の何人かに連絡を取ったところ、いずれの場合も個人情報漏洩の事実を初めて知らされたと言った。「つまり、彼らには何も通知されていなかったのだ」と同氏。

［情報提供：The Register］
http://www.theregister.co.uk/

［翻訳：関谷　麻美］

（詳しくはScan本誌をご覧ください）
http://www.vagabond.co.jp/cgi-bin/ct/p.cgi?m-sc_netsec