米連邦通信委員会 FCC による新たな規則の提案:データ侵害の開示方式を厳しく

FCC Proposes Stricter Regulations for Data Breach Disclosure

2022/01/20 SecurityBoulevard — 米連邦通信委員会 (Federal Communications Commission : FCC) は、企業がデータ漏洩を開示する際の要件を、より厳格にすることを提案した。この提案によると、企業は不注意によるデータ漏洩の影響を受けた顧客に通知することが義務付けられ、開示前の1週間の待機期間は廃止される。この変更により FCC の規則は、他のセクターを対象とした連邦/州のデータ漏洩法の最近の動向と、より良く一致することになる。

National Cyber Security Alliance (全米サイバーセキュリティ連盟) の Interim Executive Director である Lisa Plaggemier は、「昨年に発生した有名な情報漏えい事件を受けて、バイデン政権および政府は、より近代的で効果的なサイバー・セキュリティ・プロトコルを構築するために、数多くの前向きな試みを行ってきたと説明している。今回の新しいガイドラインは、このような包括的な意図に沿ったものであり、今後の数ヶ月/数年のうちに、同様の措置が取られることになるだろう」と述べている。

残念なことに、昨年の情報漏洩を取り扱う報道により、サイバー・セキュリティ業界に対する政府の監視/報告の手順が、いかに断片的であるかが明らかにされた。さらに、こうした絶え間ない報道は、官民が一体となってサイバー・セキュリティに取り組み、また、サイバー・セキュリティ・インシデントを報告する方法を再考することが、いかに重要であるかを浮き彫りにしたと、Plaggemier は述べている。

FCC による侵害通知要件への対応

今回の提案では、電気通信事業者の侵害通知の要件について、現行の FCC 規則をいくつか更新しようとしている。具体的には、対象となる全ての侵害について、

FBI および U.S. Secret Service だけではなく、同委員会への通知も義務付けることなどが盛り込まれている。また、今回の提案では、顧客への情報漏洩通知において、特定のカテゴリーの情報を含めることの、義務付けの可否についても意見を求めている。具体的には、同委員会の Telecommunications Relay Services (TRS) におけるデータ漏洩報告規則を、一貫して改訂することを提案している。

FCC の Chairwoman である Jessica Rosenworcel は声明の中で、「現行法では、電気通信事業者に対して、機密性の高い顧客情報のプライバシーとセキュリティを保護することを義務付けている。しかし、これらの規則は、進化するデータ漏洩の性質を反映し、また、影響を受ける消費者に生じるリアルタイムな脅威を完全に反映するために、更新する必要がある」と述べている。

また、Plaggemier は、「不慮の漏洩の報告要件に多くの注目が集まるだろうと予測している。サイバー・セキュリティの脅威は広範囲に影響を及ぼすため、サイバー・セキュリティの問題に可能な限り取り組むためには、影響を受ける全てのステークホルダーの協力が不可欠だ。そして、これらの要件は、FCC と他の監督機関のコラボレーション実現するための基盤となる」と述べている。

サイバー・セキュリティのコラボレーションが不可欠

Plaggemier は、「政府部門間のコミュニケーションを増やすにしても、新たな官民パートナーシップを構築するにしても、サイバー・セキュリティ業界は今後の1年間において、協力関係を促進することを優先する必要がある。このような環境を整えるためには、どのような行動も非常に有益なものとなる」と、サイバー・セキュリティにおけるコラボレーションの重要性を強調している。

さらに、Jessica Rosenworcel は、「データ流出の頻度/巧妙さ/規模の拡大に加えて、個人情報の流出がもたらす長期的な影響から、顧客は保護されるべきだ。私は、消費者をより良く保護し、セキュリティを高め、将来の情報漏えいの影響を軽減するために、データ漏えい報告規則を見直すことに、同僚たちが参加してくれることを楽しみにしている」と述べている。

顧客情報を含むセキュリティ侵害の、頻度と重大性が増していることで、情報を不適切に漏洩させられた消費者に永続的な悪影響をおよぶ可能性がある。時には、こうした悪影響が何年も続き、消費者の信用などに影響を与えることもある。このような被害のリスクを低減するために、FCC は 2021年9月に、SIM スワッピング詐欺やポートアウト詐欺を対象とした規則も提案している。FCC は、電話番号を新しい端末や通信事業者に割り当てる前に、より安全な方法で顧客を認証することを携帯電話会社に求めるために、迅速に行動する予定だと述べている。

FCC の 2021年は、「米 FCC 主導による通信ネットワークからの Huawei と ZTE の排除」や、「米 FCC による China Telecom 免許取り消しの経緯」があり、忙しい年だったはずです。しかし、最近の FTCCISA の動きと比べると、どこかノンビリとした雰囲気が漂っています。その一方では、「SIM スワップで1億円の暗号通貨をだまし取った PlugWalkJoe が起訴された」や、「T-Mobile で SIM スワップ攻撃が発生:ただし詳細は不明」に見られるように、深刻なインシデントが起こっています。頑張ってもらいたいです。

%d bloggers like this: