アメリカにおいて、従業員を雇用している企業であればほぼ全ての企業が、dataやprivacyのsecurityに関して対策を講じる必要があります。
Data Security and Privacy lawsに関して、日本では個人情報保護法があり、EUでも個人情報保護に関して強い規制(directive)があると聞いていますが、アメリカでは上記のような網羅的な法律はありません。実際にEUの規制上、EUの個人情報をアメリカに移すのは難しいという話も聞いたことがあります。また、日本での個人情報の保護意識の高まりはご存知のことと思います(個人的には少し行き過ぎのような気がしますが。)。
上記のような背景事情から、アメリカでのData Security and Privacy Issuesの規制は緩いものと思いがちかもしれませんが、特にここ数年、アメリカでもdataやpersonal informationのsecurityに関心が集まって来ており、留意する必要があります。
なお、セミナーでは雇用関係の側面から、本件問題を取り上げていましたので、この投稿でもかかる観点からの報告になります。
I. 制定法の概観
アメリカでは、Health Care Providers等を対象としたThe Health Insurance Portability and Accountability Act of 1996 (HIPAA)や金融機関を対象としたGramm-Leach-Bliley Act of 1999 (GLBA)など、特定の業種に対して制定されている法律があるので、これらの法律の対象となる業種の企業は、それぞれの法律に従う必要があります。
上記以外の業種の企業であっても、従業員を雇用している企業であればほぼ全ての企業が、dataやprivacyのsecurityに関して対策を講じる必要があると思います。
なぜなら、アメリカの45州では、情報の漏洩があった場合にはかかる事実を開示する義務を企業に課しており(例えば、カリフォルニア州では、CAL. CIV. CODE § 1798.82)、かかる義務に基づき開示を行った企業に対して訴訟が提起される例が急増しているからです。
また、この開示を端緒として、Federal Trade Commission(FTC)のInvestigation(捜査)が行われることもあります(See Section 5 of FTC Act)
II. 訴訟の原因
漏洩の原因の中で20%以上を占めるのが従業員によるものだということです(さらにそのうち3分の2は従業員の故意によるもの)。
そして、上記で触れた訴訟において問われるのは、
• 情報を漏洩した従業員を雇用した責任(negligent hiring and retention)
• 情報安全保管義務違反、
• その他FCRA, FCFAA違反等法定の義務違反
• 漏洩した事実の開示による株価下落の損害賠償請求又は derivative cases(代表訴訟)
さらに、まだ実際に原告に損害が発生していない段階でも、漏洩が今後起こらないように監視を求めることを要求する場合もあり、その場合にかかるコストは事前に行う場合に比して、高額になる場合もあるようです。
III. 対策
上記のようなリスクを出来る限り回避するために、以下のような対策が考えられます。
• どの情報がSensitive Dataなのかを知り、かかるDataの所在(どこからどこに情報が流れて行くかということも含みます。)を把握する。
• 誰にアクセス権限があるのかを決定し、さらにその権限者の使用目的も限定する。
• さらに、詳細な管理の方法をマニュアルの形にする(また、そのマニュアルを効率的に運用させる。)。
• 情報を社外に出す場合の制限をかける。
• 情報を処分する際のルール(FACTA and the FTC disposal rule参照)を策定する。
• 従業員への研修(特に、漏洩が起きてしまったときの対応)を定期的に行い、理解を徹底させる。
• また、最近では、Cyber risk, privacy riskに特化した保険があるので、かかる保険に加入する。
特に、雇用関係では、
• 採用時のBackground Checkを行う際(各州法によって、要件が異なりますが、希望者の明確な同意を得ておく事が望ましい。)、
• 従業員との雇用関係が終了する際、
には慎重にSensitive Informationを取り扱う必要があります。
0 件のコメント:
コメントを投稿