データインサイダー

規制コンプライアンスとは?

規制コンプライアンスとは、組織がその事業運営に適用される法規制を遵守するための取り組みを指します。

法規制では通常、組織が一般的な義務や業界固有の義務に従うことが求められます。たとえば、医療データの管理について規定するHIPAAや、ペイメントカードの処理を規制するPCI DSSでは、利用者の個人データのセキュリティを確保することが要求されます。CCPAやGDPRなど、特定の地域内の事実上すべての業界に適用される法規制もあります。また、国家レベルの基幹インフラの保護と可用性の確保を求めるNIS指令やNERC CIPのように、特定の目的のために作られた法規制も数多くあります。

この記事では、いくつかの主要な規制基準、およびコンプライアンス実現に関する一般的な要件と課題について説明します。

規制コンプライアンスの概要

ITでの規制コンプライアンスの確立

組織には、個人情報の漏えいを含むセキュリティ侵害の公表を求めるさまざまな法律、規制、基準が適用されます。セキュリティ侵害、罰金や罰則の適用、メディアでのスクープ報道を避けるために、情報セキュリティプログラムを確立および強化することが義務付けられるか奨励されます。

組織は、リスク管理などの活動を組み込んだセキュリティガバナンスを通じて規制コンプライアンスの義務を履行できます。これには、規制コンプライアンスリスクの管理、インシデント対応、プロセス改善、イベント検出、事業継続性計画やディザスタリカバリー計画の策定、リソース管理、進捗と効率を測定するためのメトリクスの確立などの取り組みが含まれます。情報セキュリティガバナンスを実現すれば、効果的な体制を確立し、役割と責任を明確化して、ビジネス関係者、法務チーム、ITチームの間で共通の認識を持つこともできます。特に、コンプライアンスリスクを特定し、運用チームが従うべき技術的および組織的なコントロールとガイドラインなど、ITセキュリティポリシーを策定するために役立ちます。

コンプライアンスのコスト

さまざまな規制コンプライアンスの達成と維持は、複雑でコストのかかるプロセスです。法務チームとITチームが協力して、組織に適用される法規制を解釈し、ギャップを評価して、ITセキュリティのポリシーとガイドラインを策定および改訂する必要があります。また、新しいプロセスや機能を導入すると同時に、既存のプロセスや機能を見直し、効果を継続的に監視して、政府機関やIT監査担当者にコンプライアンスの検証結果を報告する必要もあります。そのために必要な時間、リソース、人員の確保には、多くの場合、通常の運用コストとは別に数百万ドルほどかかります。それでも、コンプライアンスの維持にかかるコストは、規制違反によって科される罰金や、顧客の信頼を回復するために必要な時間と労力に比べれば、はるかに割安です。

要件

HIPAAの概要

HIPAA (医療保険の相互運用性と説明責任に関する法律)は、診療所、病院、健康保険会社、その他の医療提供者が収集した患者データの処理を標準化することを目的に1996年に制定されました。HIPAAコンプライアンスは、HHS (米国保健福祉省)とその配下のOCR (公民権室)によって運用されています。違反は民事罰または刑事罰の対象となり、民事違反では最高5万ドルの罰金、刑事違反では最高10年の懲役が科せられます。

HIPAAには以下のような相互に関連するルールがいくつか含まれます。

  1. HIPAAプライバシールール:連絡先の詳細、社会保障番号、財務情報、診断内容、治療内容など、個人の医療記録に該当するすべての情報を含むPHI (保護対象保健情報)へのアクセスに関する国家基準を規定します。このルールはHIPAAの「適用対象主体」にのみ適用されます。
  2. HIPAAセキュリティルール:PHIに関する具体的なガイドラインと、ePHI (電子化されたPHI)の作成、保存、送信、受信方法を規定します。このルールは、HIPAAの適用対象主体と、電子データを共有する「事業提携者」(PHIを処理するサービスプロバイダー)の両方に適用されます。
  3. HIPAA違反通知ルール:PHIが漏えいした場合にHIPAAの適用対象主体とその事業提携者が従うべき手順を規定します。
  4. HIPAA施行ルール:HIPAA違反に関する手順と罰則を規定します。
HIPAAコンプライアンスの図

HIPAAコンプライアンスは、病院から医療計画まで、医療機関が患者データを処理する方法の基準を規定します。

HIPAAにおける違反の定義

HHSはHIPAA違反を「一般的に、PHIのセキュリティまたはプライバシーを侵害する、プライバシールールで許可されていない使用または開示」と定義しています。たとえば、診療所でセキュリティ対策が行われていない部屋から、数百人分の患者のPHIが暗号化されずに保存されたノートPCが盗まれた場合、違反とみなされます。

HIPAAに準拠するために必要なこと

HIPAAに準拠するには、患者に関する、口頭、物理、電子を含むすべての形式のPHIを保護する必要があります。HIPAA Journalでは、HIPAAに準拠するための7つのステップを紹介しています。これには、ポリシーと手順の策定と実施、HIPAAコンプライアンス責任者の任命、従業員と経営幹部を対象にした効果的なトレーニングの実施、効果的なコミュニケーションチャネルの確立、内部監視および監査の実施、違反への対応、是正処置の実施、ポリシーと手順の評価と必要に応じた修正の取り組みが含まれます。

GDPRの概要

GDPR (一般データ保護規則)は、EU内のすべての組織と、EUで事業を行うかEUに顧客を持つすべての海外組織を対象に2016年に制定されました。2018年に適用が開始されて以来、EUの個人データ保護について規定する法律として主要な地位を占めています。GDPRでは、その前身に当たるEUデータ保護指令95/46/ecの要件のほかに、すべてのトランザクションを対象にした新しい要件が追加されています。たとえば以下のものがあります。

  • データの収集または処理時に顧客の同意を得ること
  • 収集したデータを「仮名化」してプライバシーを守ること
  • データ侵害が発覚したときは72時間以内に報告すること
  • データの越境移転時のセキュリティを確保するためのガイドラインを確立すること
  • 組織内でGDPRコンプライアスを監督するDPO (データ保護責任者)を任命すること

GDPRに違反すると、最高で全世界の年間売上高の4%または2,000万ユーロのいずれか高い方が罰金として科せられます。

GDPRにおける違反の定義

GDPRでは、違反は「転送、保存、その他の方法で処理される個人データの偶発的または違法な破壊、喪失、改変、無断開示、またはアクセスにつながるセキュリティ違反」と定義されます。この解釈は広く、コンピューターネットワークへのハッキングによる顧客情報の流出から、バックアップを取っていなかったハードドライブ上の個人データのミスによる消去まで、さまざまな事例がコンプライアンスリスクになります。

GDPRに準拠するために必要なこと

GDPRに準拠するには、データ管理者(通常はデータを所有する事業体)とデータ処理者(データ管理者に代わって顧客データを処理する事業体)の両方が、EU市民のデータの収集、保存、処理に関する基準の大枠に従う必要があります。

GDPRの図

GDPRコンプライアンス達成の最初のステップは、すべてのデータソースを評価し、保存されているすべての個人データのインベントリを作成することです。その後、それに基づいてGDPRプライバシールールを文書化し、組織全体で共有して、個人データに必要なレベルの保護対策を講じます。

PCIの概要

PCIは、PCI DSS (ペイメントカード業界データセキュリティ基準)の一般的な略称であり、オンラインとオフラインの両方の決済処理に関するセキュリティ基準を確立する目的で2004年に策定され、以後、改善のために適宜更新されています。PCI DSSは、取引の規模や件数に関係なく、カード会員のデータを受け取り、転送、または保存するすべての組織に適用されます。これらの基準はPCI SSC (Payment Card Industry Security Standards Council)によって運用管理され、主要なクレジット/デビットカードブランド5社によって施行されています。PCIに違反すると、1カ月あたり5,000~10万ドルの罰金が科せられる可能性があります。

PCIにおける違反の定義

PCIでは、カード会員データが許可なくアクセス、閲覧、または取得されるインシデントが違反とみなされます。ハッキングを受けたり、セキュリティ対策がされていないノートPCを盗まれたり、許可されていないユーザーがカード会員の個人データを閲覧できる状態になったりすると、違反と判断される可能性があります。

PCIに準拠するために必要なこと

PCIのコンプライアンス要件は事業体の取引件数によって異なります。カードブランドによって細かい点は多少異なりますが、主に4つのレベルに分けられます。

  • レベル1:年間の取引件数が600万件以上の加盟店
  • レベル2:年間の取引件数が100万~600万件の加盟店
  • レベル3:年間のeコマース取引件数が2万~100万件の加盟店
  • レベル4:年間のeコマース取引件数が2万件未満の加盟店、または年間の取引件数が100万件未満の加盟店

PCI DSSでは、カード会員データを保護するための12の主要な要件を規定しています。

  1. ファイアウォールを導入して運用保守すること
  2. システムのパスワードやその他のセキュリティパラメーターにベンダーのデフォルト設定を使用しないこと
  3. 保存されたカード会員データを保護すること
  4. オープンなパブリックネットワーク経由でカード会員データを転送する場合は暗号化すること
  5. ウイルス対策ソフトウェアを使用し、定期的に更新すること
  6. 安全なシステムとアプリケーションを開発して維持すること
  7. カード会員データへのアクセスは組織内で必要最小限に制限すること
  8. コンピューターにアクセスできる各ユーザーに一意のIDを割り当てること
  9. カード会員データへの物理的なアクセスを制限すること
  10. ネットワークリソースとカード会員データへのすべてのアクセスを追跡して監視すること
  11. セキュリティシステムおよびプロセスを定期的にテストすること
  12. すべての従業員に対して情報セキュリティポリシーの維持を徹底すること
NISTの概要

NIST (国立標準技術研究所)は、科学技術産業に関する標準を定める、米国商務省配下の非監督機関です。NISTの標準は、米国の連邦政府機関とその委託企業がFISMA (連邦情報セキュリティマネジメント法)の要件に準拠するためにも一部採用されています。

各種の標準の中で特に広く利用されているのがCSF (サイバーセキュリティフレームワーク)です。これは、幅広い企業や組織がセキュリティコントロールを評価してリスクにプロアクティブに対処できるように設計された、自主的なフレームワークです。CSFは5つの主要な「機能」で構成され、さまざまなサイバーセキュリティ脅威の特定、防御、検出、対応、復旧方法に関するガイダンスを提供します。

NISTの標準にはFIPS (連邦情報処理標準)もあります。これは、米国連邦政府が軍事以外の政府機関とその委託企業やベンダー向けに策定した一連のサイバーセキュリティ基準です。FIPSは特に、業界標準に広範な視点が欠けているか業界標準がそもそも存在しない領域について、データのエンコーディング、ドキュメント処理、暗号化アルゴリズム、その他のITセキュリティプロセスに関するフレームワークを提供し、コンピューターセキュリティと相互運用性の要件を規定します。

NISTにおける違反の定義

NISTは違反に関して具体的な定義を示していません。NISTの標準、ベストプラクティス、ガイドラインは、組織内外の脅威や攻撃からデータを保護するためのフレームワークを提供します。その意味で、これらはむしろ、HIPAAなどの他の法規制で定義されている違反を防ぐために役立ちます。

NISTに準拠するために必要なこと

NISTのコンプライアンス基準は、特定の規制要件を満たすように設計されていることが多いため、組織が採用する標準によって異なります。たとえばNISTは、FISMAに準拠するための9つのステップを紹介しています。

  1. 保護する情報を分類する
  2. 最小限のベースラインコントロールを選択する
  3. リスク評価手順に基づいてコントロールを調整する
  4. コントロールをシステムセキュリティ計画として文書化する
  5. 適切な情報システムにセキュリティコントロールを実装する
  6. 実装したセキュリティコントロールの効果を評価する
  7. ミッションやビジネスケースに対する組織レベルのリスクを特定する
  8. 情報システムでの処理を許可する
  9. セキュリティコントロールを継続的に監視する

NISTの規則の多くは、政府機関のデータや情報システムのセキュリティ要件とプライバシー要件を取り上げたNIST SP 800シリーズで概説されています。

NISTに準拠するための対応

連邦政府と取引する場合は、従うべき義務を把握する必要があります。そのためにはまず、SP 800-171を確認するとよいでしょう。このドキュメントでは、CUI (非格付け情報)を保護するために必要な情報システムとポリシーの構築方法が説明されています。下請け業者に業務を委託する場合は、その業者もNISTに準拠していることを確認する必要があります。

COPPAの概要

COPPA (児童オンラインプライバシー保護法)は、アプリケーション、Webサイト、その他のオンラインサービスを運営する組織に対して、13歳未満の児童の個人情報を収集するときは事前に保護者の同意を得ることを義務付ける、1998年に制定された連邦法です。対象となる個人情報には、氏名、住所、オンラインの連絡先情報、社会保障番号、ユーザー名やスクリーン名、地理的位置情報のほか、児童の画像または音声を記録したあらゆる種類の写真、動画、オーディオファイルや、児童の認識に使用できる永続的な識別子(Cookieなど)が含まれます。FTC (連邦取引委員会)は、裁判所がCOPPAの違反1件につき最高4万2,530ドルの制裁金を科すことができると定めています。

COPPAにおける違反の定義

COPPAでは、児童データの収集と使用方法に関して法的義務に反するあらゆる事例が違反に該当します。たとえば、音楽ストリーミングサイトで13歳未満の児童が事前に保護者の同意を得ずにアカウント登録できる場合、COPPA違反とみなされます。また、COPPAの規則に従うための措置を講じても、それが適切に機能しなかった場合は、違反とみなされる可能性があります。

COPPAに準拠するために必要なこと

COPPAに準拠するための基本要件は、13歳未満の児童のデータを収集するときは検証可能な方法で事前に保護者の同意を得ること、そのデータの機密性、セキュリティ、整合性を確保すること、収集したデータの使用方法と保存方法を説明する明確なプライバシーポリシーを提示することの3つに要約できます。対策を行う際には、FTCが提供する詳細なFAQ児童のプライバシーに関するガイダンス、「Six-Step Compliance Plan for Your Business (事業に応じたコンプライアンス計画を立てるための6つのステップ)」を参照することをお勧めします。また、COPPAホットライン(CoppaHotLine@ftc.gov)にメールで問い合わせることもできます。

CCPAの概要

CCPA (カリフォルニア州消費者プライバシー法)は、2020年1月1日に発効され、カリフォルニア州で事業を行う組織が消費者の個人情報を収集および使用する方法を規定しています。消費者の個人情報には、連絡先の詳細から、IPアドレス、買い物履歴、心理的プロファイルまで、あらゆる情報が該当します。CCPAの規定では、カリフォルニア州の居住者には、自身について収集される個人情報、その開示先、情報が第三者に販売されるかどうかを知る権利があります。また、収集された個人情報にアクセスする権利や、個人情報の販売を拒否する権利も与えられ、これらのプライバシー権を行使するかどうかにかかわらず、同じサービスを同じ料金で利用できることが保証されます。

CCPAにおける違反の定義

CCPAでは、カリフォルニア州の既存のデータ侵害通知法に反するあらゆる事例が違反に該当します。既存の法律では、暗号化されていない個人情報の盗難や不正アクセスが発生したときにカリフォルニア州の居住者に通知することが求められています。CCPAでは、「個人情報」の定義が拡張され、消費者個人または世帯を特定、識別、説明する情報、それらに関連付けることができる情報、直接的または間接的な方法で合理的に関連付けることができる情報も含まれます。

CCPAに準拠するために必要なこと

CCPAに準拠するための最も重要なステップは、CCPAで定義されている「個人情報」を特定し、その保存場所と共有方法を把握することです。その上で、プライバシーポリシーを更新し、顧客からの個人情報のアクセス、削除、販売拒否の各要求に対応する方法、および販売を許可されたデータと許可されていないデータの分離方法について説明します。

結論

コンプライアンスの確保は必須

コンプライアンスの実現には継続的な取り組みが必要であり、違反すると収益に大きな影響を及ぼす可能性があります。規制要件は毎年のように増え、しかもその内容は厳しくなる一方です。その点で、コンプライアンスは組織が直面する最大の課題と言えるかもしれません。たしかにコンプライアンスを実現するにはリソースへの多大な投資が必要になります。しかし、違反した際のコストは、科せられる罰金とブランドイメージの低下の両方を考えれば、そのような投資よりもはるかに高くつく可能性があります。規制要件が最終的に目指すのは、リスクを軽減することです。そのため、組織に適用される法規制を早い段階で特定し、それらに準拠するための包括的なコンプライアンス計画を立てることは、組織を守るための最善の方法なのです。