「対象企業にとっての基本的な考え方は、情報漏洩が発生した場合、通知義務が生じるというものだ。これは投資家にとって有益である」——米証券取引委員会(SEC)のゲイリー・ゲンスラー委員長は、特定の金融機関による非公開個人情報の取り扱いに関する規則S-Pの改正を発表する中で、このように述べた。 対象機関(主に証券会社、投資会社、登録投資顧問会社、移転代理人)に対し、改正規則はデータ侵害報告義務を導入するだけでなく、追加的なサイバーセキュリティ要件も課す。以下に改正規則の概要と主要なポイントを示す。
インシデント対応プログラム
改正規則では、対象となるすべての金融機関が、既存のポリシーおよび手順に基づき、インシデント対応プログラムを策定し実施することが義務付けられる。このプログラムは、顧客情報への不正アクセスまたは不正使用のインシデントを検知し、対応し、復旧するために「合理的に設計」されなければならない。
改正された規制は、各機関が自らの業務運営やリスクプロファイルに最適に適合するよう方針や手順を柔軟に調整することを認めているものの、あらゆるインシデント対応プログラムには以下の基本原則が組み込まれている必要がある:
- インシデントの評価:本プログラムには、インシデントの性質と範囲を評価するためのポリシーと手順を含める必要がある。これには、侵害された顧客情報システムを特定すること、および不正にアクセスまたは使用された可能性のある顧客情報の種類を特定することが含まれる。
- 封じ込めと制御:インシデントを検知した場合、機関は状況の封じ込めと制御のために適切な措置を講じ、顧客情報へのさらなる不正アクセスや悪用を防止しなければならない。この手順は、侵害の影響を軽減し、追加の脆弱性から保護するために極めて重要である。
- 影響を受けた個人への通知:本プログラムは、機密性の高い顧客情報が漏洩した、または漏洩した可能性が高い個人への通知手順も明記しなければならない。当該機関が合理的な調査を経て、当該機密性の高い顧客情報が顧客に重大な損害または不便をもたらす可能性のある方法で利用された事実がなく、また利用される可能性も低いと判断した場合を除き、通知を実施しなければならない。
通知要件
改正規則では、「機微な顧客情報」への不正アクセスまたは不正使用があった場合に通知義務を課す。機微な顧客情報とは、単独または他の情報と組み合わせて、その侵害が当該情報に関連する個人に重大な損害または不便をもたらす可能性のある顧客データのあらゆる要素をいう。
改正規則の下では、対象機関は潜在的なサイバーセキュリティインシデントから生じる損害の可能性を判断するため、合理的な調査を実施しなければならない。対象機関が、機密情報が重大な損害または不便をもたらす可能性のある方法で利用されておらず、また利用される可能性が低いと判断した場合、通知義務は免除される可能性がある。調査の合理性は状況の具体的内容によって判断される。 例えば、サイバー犯罪者による意図的なセキュリティ侵害は、従業員による不注意なデータ漏洩と比較して、より徹底的な調査が必要となる可能性がある。
対象機関が情報漏洩が発生したと判断した場合、当該機関は合理的に実行可能な限り速やかに、かつ例外を除き30日以内に影響を受けた個人に通知しなければならない。通知には、インシデントの性質や関与した具体的なデータを含む、漏洩の詳細を提供する必要がある。さらに、通知は影響を受けた個人が潜在的な危害から身を守るための適切な手順を案内すべきである。
サービスプロバイダーの監督
改正規則では、対象金融機関のインシデント対応プログラムに、サービスプロバイダーに対する監督(デューデリジェンスやモニタリングを含む)を合理的に要求するよう設計された書面による方針と手順を含めることが義務付けられている。「サービスプロバイダー」とは、「対象金融機関に直接サービスを提供することにより、顧客情報を受領、保持、処理、またはその他の方法でアクセスを許可されている個人または団体」を指す。 この広範な定義には、電子メールプロバイダー、顧客関係管理システム、クラウドアプリケーション、その他の技術ベンダーなど、幅広い事業体が含まれる可能性がある。
対象金融機関の書面による方針および手順は、サービス提供者が顧客情報への不正アクセスまたは不正使用から保護するための適切な措置を講じ、かつセキュリティ侵害が発生し顧客情報システムへの不正アクセスが生じたことを認識した時点から遅くとも72時間以内に、対象金融機関へ通知することを確実に保証するよう合理的に設計されなければならない。当該通知を受領した対象金融機関は、直ちにインシデント対応プログラムを開始しなければならない。
改正規則のその他の側面
改正規則は、とりわけ、対象となる金融機関に対し、顧客情報への不正アクセスまたは不正使用、およびそのような事案に関する調査の記録を含む、追加的な記録保持要件を課す。また、改正規則は、消費者情報および顧客情報の適切な廃棄に関する方針と手順も要求する。
主なポイント
- 改正規則は、連邦政府全般、特にSECがサイバーセキュリティコンプライアンスに注力していることを示す新たな事例である。対象機関は、この注力が継続し、サイバーセキュリティ関連の執行措置が増加すると予想すべきである。
- 改正規則は今夏後半に発効する。大規模事業者は18カ月、小規模事業者は24カ月の遵守猶予期間が与えられる。対象機関は本規則の適用範囲を評価し、それに応じた遵守計画を策定すべきである。
- 対象となる機関は、新たな要件を反映させるため、方針と手順の見直し及び更新を開始すべきである。この積極的な取り組みにより、不足点を特定し、改正規制が定めた期限内に準拠することが可能となる。
- 対象となる機関は、改正内容に沿ったサービス提供者の十分な監督とコンプライアンスを確保するため、既存のサービス提供者契約も見直すべきである。これには、サービス提供者が新たなセキュリティ要件および通知要件を遵守していることを確認するためのデューデリジェンスおよびモニタリング措置の実施が含まれる。
- 改正規則は通知義務を課す点で注目に値するが、実務上、この義務は州のデータ侵害法やその他の規制の形で既に存在していた。したがって、対象となる機関は既存のインシデント対応計画や通知手順書を活用し、既存のプロセスや手順をどの程度活用できるかを判断すべきである。
改正された規則S-Pの要件に関してその他のご質問がございましたら、本稿の執筆者いずれか、またはFoley & Lardner法律事務所のテクノロジー取引・サイバーセキュリティ・プライバシー業務グループに所属するパートナーもしくはシニアカウンセルまでお問い合わせください。
