サミュエル(サム)・ゴールドスティックは、データプライバシーおよびサイバーセキュリティの弁護士であり、国際的・連邦・州のデータプライバシーおよびセキュリティ法へのコンプライアンス全般について、幅広い業界のクライアントに助言を提供している。同社のテクノロジー取引、サイバーセキュリティ、プライバシー実務部門のシニアカウンセルであり、スポーツ・エンターテインメント産業チームおよび革新的技術セクターのメンバーでもある。
サムは、小売、ホスピタリティ、製造、金融サービス、医療、保険、スポーツ、航空宇宙、エネルギー、政府契約、教育、情報技術、運輸、旅行産業など、経済のほぼすべての分野の企業に対し、以下のようなデータプライバシーおよびセキュリティコンプライアンスに関する幅広い問題について助言を提供しています:
- 州、連邦、および国際レベルにおけるデータ侵害通知要件
- EUおよび英国の一般データ保護規則(GDPR)
- カリフォルニア州消費者プライバシー法(CCPA)(カリフォルニア州プライバシー権法(CPRA)により改正されたもの)およびその他の類似の包括的な米国州消費者プライバシー法
- グラム・リーチ・ブライリー法(GLBA)
- ニューヨーク州金融サービス局(NYDFS)サイバーセキュリティ規制
- 州の保険データセキュリティ法(NAICモデル法を模した法を含む)
- イリノイ州の生体情報プライバシー法(BIPA)およびその他の州の生体情報プライバシー法
- 電話消費者保護法(TCPA)および州法における同等の法律
- 医療保険の携行性と責任に関する法律(HIPAA)および州法における同等の法律
- 国防総省(DoD)の連邦契約業者向けサイバーセキュリティ要件(DFARS 252.204-7012、NIST SP 800-171、CMMCを含む)
サムは、あらゆる規模のクライアントに対し、インシデント対応準備を支援します。具体的には、インシデント対応(IR)ポリシーおよび手順の見直し・更新、フォレンジックやその他の第三者IRプロバイダーとの三者間契約の交渉(インシデント発生時の弁護士・依頼者間の守秘義務および作業成果物の保護を維持するため)、実際のサイバー攻撃を模擬する机上演習の実施などを行います。
対応面では、サムは調査の初期段階から影響を受けた個人や政府規制当局への通知、さらにその結果生じた執行措置や規制当局の調査に至るまで、インシデント対応プロセス全体を通じてクライアントを頻繁に指導しています。これまでにサムはクライアントのために数百件のデータ侵害やセキュリティインシデントを処理しており、この分野における深い経験により、データインシデント発生時とその余波において、クライアントに実践的でビジネス志向の解決策を提供することが可能です。
代表的な経験
- 財務基盤の堅固な保険・金融サービスプロバイダーであるTruStageに対し、同社のデジタルストアフロント事業をDemopolis Equity Partnersへ売却するにあたり、法務アドバイザーを務めた。
- 大手金融機関クライアントに代わって、50社以上の異なるベンダーとのGDPRデータ処理契約(DPA)を交渉した。
- フォーチュン10企業に対し、新たな米国州の包括的消費者プライバシー法の適用可能性について助言し、数多くの事業イニシアチブに関連するコンプライアンス対策を実施するよう推奨した。
- グローバル小売業者、スポーツクラブ、製造業者など、多くの企業向けに、管轄区域固有の補遺(例:GDPR、CCPA/CPRA、VCDPA、CPA)を含む、更新されたウェブサイト利用規約およびオンライン・オフライン全般のプライバシーポリシーを提供。
- 大手保険会社向けに、CCPA/CPRAに基づく消費者権利請求への対応に活用できる実践的なハンドブックを開発(モデルテンプレート付き)。
- 相互保険会社向けに、HIPAA、PCI DSS、および関連する州の保険データセキュリティ法に基づく適用要件に準拠するよう、情報セキュリティポリシーの包括的なセットを更新した。
- グローバルな電子機器製造サービス企業に対し、IRおよび危機管理コミュニケーション方針を更新し、IRプロバイダーとの間で三者間フォレンジック契約を積極的に締結(特権および作業成果物保護を維持するため)、ならびに模擬侵害を想定した別個のテーブルトップ演習の実施を支援・促進した。
- グローバルな航空宇宙防衛請負業者に対し、管理対象非機密情報(CUI)を伴う国防総省(DoD)報告対象の「サイバーインシデント」に関する助言を提供し、規制当局へのフォローアップ対応を代行した。
- 自己資金による従業員健康保険計画を、複雑なOCR調査を通じて導き、2,000人以上に影響を与えたHIPAA違反に関連し、OCRデータ要求に対して20点以上の証拠書類を添付した高度な回答書を作成した。
- 保険ベンダーに対し、400万人以上に影響を及ぼしたデータ侵害の対応を指導し、規制当局との連携を含む通知プロセス全体を最初から最後まで管理した。
受賞歴と表彰
- ベスト・ローヤーズ:アメリカ注目の若手弁護士™– テクノロジー法(2021-2025年)
所属
- アメリカ法曹協会(ABA)電子プライバシー法委員会副委員長(共同)
- 米国認定情報プライバシー専門家(CIPP/US)
- 認定情報プライバシー専門家 – ヨーロッパ (CIPP/E)
- 国際プライバシー専門家協会(IAPP)会員
- ABA会員
- シカゴ弁護士会サイバー法・データプライバシー委員会委員
- ミッドウェスト・サイバーセキュリティ・アライアンス(MCSA)会員
発表と出版物
- 発表者、「プライバシーとセキュリティ – 2025年版アップデート」、友愛福利協会(AFBC)年次総会、ジョージア州サバンナ(2025年6月13日)
- 共著者、「プロスポーツにおける生体認証データのプライバシー懸念の評価」、Law360(2025年5月15日)
- 共同発表者、「混乱の現状:絶えず出現する州のプライバシー法を理解する方法」、ABAプライバシー・新興技術全国研究所および春季会議(PRISM)、ワシントンD.C.(2025年3月21日)
- 共同発表者、「データリスクからの脱却―サイバー、プライバシー、危機管理」コンシューマー・ブランズCPG法務フォーラム(2025年2月27日)
- 共同発表者「サイバーセキュリティインシデントへの備えと対応におけるベストプラクティス」、第33回年次製品流通・フランチャイズ法セミナー(2024年10月23日)
- モデレーター、「マスタークラス:サプライチェーン・デューデリジェンス」パネル、Lexology Live:サイバーリスク、ニューヨーク州ニューヨーク市(2024年6月20日)
- 共同司会者、「第7話:コロラド州とコネチカット州のデータプライバシー法施行期限」『イノベーティブ・テクノロジー・インサイト ポッドキャスト』(2023年7月13日)
- パネリスト、「リスクを伴う事業」、ノートルダム大学IDEAウィーク(2023年4月20日)
- 共同発表者、「新たな米国消費者プライバシー法への対応期限が迫る:最新のサイバーセキュリティ法動向」Foley’s CLE Weeks(2022年11月16日、2022年12月14日)
- 共同発表者、「サイバーセキュリティ:ランサムウェア最新動向とテーブルトップ演習の分析」オリジナル・エクイップメント・サプライヤーズ協会(OESA)最高財務責任者協議会会議(2022年6月8日)
- 共同発表者、「米国におけるサイバーセキュリティ及び消費者データプライバシー法の動向と関連ベンダー契約交渉のヒント」、Foley CLEウィーク(2021年11月18日及び2021年12月15日)
- 共著者、「生体認証データ関連請求の時効期間に関する控訴裁判所判決」、OneTrust DataGuidance掲載記事(2021年11月)
サプライチェーンのサイバー脅威への対策:急速に進化するサイバー環境におけるデータ保護とデジタルサプライチェーンの防衛
製造業のサプライチェーンはサイバー脅威の急増に直面しており、攻撃件数は2021年以降431%増加しています。ベンダー監視の不備がリスクを高める仕組みと、C-SCRMやセキュリティ・バイ・デザインといったサイバーレジリエンス戦略が業務を保護し競争力を強化する方法を学びましょう。
フォーリー、TruStage™のデジタルストアフロント事業売却を助言
フォーリー・アンド・ラーダー法律事務所は、1935年設立の財務基盤が堅固な保険・金融サービスプロバイダーであるトゥルーステージに対し、同社のデジタルストアフロント事業をデモポリス・エクイティ・パートナーズへ売却するにあたり、法律顧問を務めた。
フォーリー、クローザースティル・メディアのビリングトン・サイバーセキュリティ買収を助言
フォリー・アンド・ラーダーナー法律事務所は、市場をリードするビジネスイベント、展示会、カンファレンスの主催者であるクローザースティル・メディアに対し、米国公共部門サイバーセキュリティ分野の主要カンファレンス・イベント主催者であるビリングトン・サイバーセキュリティの買収において、法律顧問を務めた。
/Passle/63109459f636e905f41c4854/MediaLibrary/Images/2025-09-15-16-08-53-602-68c83a15385d1737713c875c.png)
CMMC契約条項が導入されました:防衛産業契約業者が知っておくべきこと
先週、米国国防総省のサイバーセキュリティ成熟度モデル認証2.0(CMMC)プログラムにおいて重要な節目が訪れた。
フォリー、PSGによる1億2500万ドルの戦略的成長投資においてHeroDevsを代理
フォリー・アンド・ラーダー法律事務所は、廃止予定のオープンソースソフトウェア向けセキュリティおよびコンプライアンスソリューションを提供するHeroDevsを代理し、ソフトウェアおよびテクノロジーを活用したサービス企業に特化した成長資本投資会社PSGから1億2500万ドルの戦略的成長投資の確保を支援した。既存投資家であるAlbumも本ラウンドに参加した。
プロスポーツにおける生体認証データのプライバシー懸念の評価
現代のデータ主導型スポーツ業界では、チーム、リーグ、スポンサーが選手のパフォーマンス向上、負傷予防、契約交渉の最適化を図るため、生体計測データやパフォーマンスデータへの依存度を高めている。こうしたデータ収集には、単なる統計情報を超えた極めて機微な生理的・健康情報が含まれることが多く、追加的な倫理的・法的考慮事項が生じている。