こんにちは、IIJA Webinar 事務局です。
2023年6月6日と8日に開催したIIJAウェビナー『執行開始間近!CCPA改正点と新規則のポイント総点検~法務・IT両面の実務上の重要点について』で講演された中のIT編から、CCPAで求められるITセキュリティ対策をキャッチアップしました。
CCPAが義務付けるセキュリティの確保を、実業務の中でどのようにとらえて実装するべきか、セキュリティフレームワークの紹介を交えて解説します。
CCPAで求められるITセキュリティ対策にじっくり取り組みたい方におすすめです。ぜひご一読ください!
<<配信中>>
本講演の録画をIIJビジネスリスクマネジメントポータル ("BizRis") で配信中です!
動画視聴をご希望の方はこちらから。
☆BizRisの有料会員は無料で視聴が可能です(非会員は有料となります)。
CCPAが求めること
CCPAでは、事業主が個人情報の性質に応じた合理的なセキュリティ保護の手段と業務を実践し、それを維持する義務があると定めています。(CCPA 1798.100条(e))
この義務の内容をもう少し具体的にいいますと、事業主は「個人情報の性質に応じた合理的なセキュリティ手続きとプラクティスを実践し、個人情報が無権限アクセス、流出、窃取又は開示の影響下に置かれることを防ぐ」必要があります。
ここで、個人情報とは、
カリフォルニア州民法典1798.81.5 条第(d)項(1)(A)に定める個人情報で暗号化や編集がされていないもの
アカウントへのアクセスを可能とさせるEmailとパスワード又はEmailとセキュリティ用の質問と回答の組み合わせ
を指します。
セキュリティ確保義務に違反したら?
事業主がCCPAの求めるセキュリティ確保義務に違反した場合、消費者は以下のいずれかの目的のために、民事訴訟を提起することができます。
違反1 件につき消費者1人当たり100ドル~750ドルの、 又は実損害のいずれか 大きい額の損害を回収するため
差止命令による救済又は宣言的救済を求めるため
裁判所が適切とみなすその他の救済を求めるため
つまり、1件につき100ドル~750ドル以下の法定損害、又は実損の大きい額の損害賠償を請求できます。クラスアクション (集団訴訟) も可能なため、事業主のリスクは莫大と言えます。
たとえば100万人のデータを漏洩した場合は、最高7.5億米ドル(約1,000億円強)の損害賠償額となります。
「合理的な」の実体
さて、重要なポイントである「情報の性質に応じた合理的なセキュリティ保護の手段と業務を実践し、それを維持する義務」とは、具体的にどういうことでしょうか?
それは、以下のように言い替えることができます。(講演資料より)
業務ごとに取り扱う個人情報の性質からプライバシーリスクを評価し、
リスクに相応するセキュリティ管理策・保護手段を定め、
それを社内ルールの徹底や、技術的実装により実践し、継続的に運用していくこと
合理的なセキュリティ対策は、扱う個人情報の重要度とそれに対するセキュリティ対策が、シーソーのように釣り合うことが重要です。
どのようなセキュリティ対策を実装すべきか?ということをCCPAは具体的に規定していません。ITセキュリティベンダから提案されたITセキュリティ対策が、個人情報保護やプライバシー規制の観点から十分なのか?または、逆にこんなに予算をかけてやりすぎではないか?と、見当がつかない状況が多いと思います。
セキュリティフレームワークの活用
そこで、1つの指標として『セキュリティフレームワーク』を活用することで、どの程度の実装をすればよいのかを考えていく、という手段を取ることができます。
ITセキュリティ対応においては、セキュリティ管理策・保護手段を定める必要がありますが、網羅性・効率性の観点から、信頼できる機関から発行されているフレームワークやガイドラインを活用するのが効果的です。
代表的なフレームワークを挙げます。
文書名 | 発行元 | 発行主体 | 内容 |
CIS Controls | CIS | 米国 | 18の管理策からなるサイバーセキュリティ対策 |
NIST-SP800-171 | NIST | 米国 | 連邦政府以外のシステムと組織における管理情報の保護 |
Handbook on Security of Personal Data Processing | ENISA | 欧州 | 中小規模組織向けの個人データ処理に関するセキュリティ対策 |
ISO/IEC 27701 | ISO | 国際標準 | ISMSを拡張したプライバシー情報マネジメントシステム (PIMS) |
セキュリティフレームワークは、それ単体で有効なものではありますが、事業主がそのまま採用して、必ずしも自社に完璧に合っているのか、という点で保証はないので、法規制、業務、システム特有の脅威を鑑みて適宜カスタマイズして利用する必要があります。
セキュリティアセスメントが重要
セキュリティフレームワークでは、セキュリティ管理策や実装すべき保護手段がリスト化されていますが、すべて対応するにはかなりの費用がかかりますし、本当に自社に必要なセキュリティの実装レベルが判らないということがよくあります。
さらに、CCPAで求められるのは『合理的なセキュリティ保護の手段と業務を実践し、それを維持する』ことで、セキュリティフレームワークの活用だけでは、自社が取り扱う個人情報の性質に鑑みて、何が合理的かという点については十分な考慮がなされていないことになります。
そこで、自社に必要で適切なレベルのITセキュリティの実装と、対策の優先順位を見極めるためには、自社が顕在的・潜在的に抱えるセキュリティリスクを把握する必要があり、そのためにはリスクアセスメントの実施が重要となります。
セキュリティフレームワークの1つとして紹介したCISは、リスクアセスメント手法としてCIS RAM (Risk Assessment Method) というフレームワークを提供しており、CIS Controlsとセットで活用することができます。
IIJでは、セキュリティフレームワークを活用した、ITセキュリティアセスメントやコンサルティングサービスを提供しています。ご質問やご相談は、いつでもご気軽にWebフォームからお問合せください。
また、米国を含む世界各国のプライバシー保護法規制・サイバーセキュリティ規制に関する最新のニュースや実務に役立つナレッジなどを日本語で発信する
もぜひご確認ください!
まとめ
本ブログでは、CCPAで求められるセキュリティ保護策の考え方をかみ砕いて解説し、保護策の策定に活用できるセキュリティフレームワークの紹介、セキュリティアセスメントの重要性をお伝えしました。
CCPAで求められる『クッキーバナー対応』については、続編ブログでご紹介します。
<<配信中>>
本講演の録画をIIJビジネスリスクマネジメントポータル ("BizRis") で配信中です!
動画視聴をご希望の方はこちらから。
☆BizRisの有料会員は無料で視聴が可能です(非会員は有料となります)。
講師の紹介
外資系IT企業において営業・マーケティングを経験後、2007年より渡米。現地のシステムインテグレーターにて営業マネージャーとして数多くのITインフラ構築・運用案件やBCP、セキュリティ対策案件を指揮する傍ら、夜間ロースクールに通い、ニューヨーク州弁護士資格を取得。
2020年1月より現職。企業の情報システム部と法務・コンプライアンス部の両方の立場を踏まえ、法律が求めるITセキュリティについて具体的なアドバイスの提供を行っている。
石村 卓也
株式会社インターネットイニシアティブ
ビジネスリスクコンサルティング本部
シニアコンサルタント/ニューヨーク州弁護士
IIJ Americaでは、毎月様々なトピックを取り上げてウェビナーを開催しています。
IIJ America ニュースレターへご登録いただくと、ウェビナー開催のお知らせをお届けします。ニュースレターご登録はこちらから!
CCPAをはじめとした、世界のプライバシー規制対応に関するご質問やご相談は、いつでもご気軽にWebフォームからお問合せください。お待ちしております。
最後までお読みいただきまして、ありがとうございました!