米国連邦通信委員会(FCC)は、通信事業者がシステム侵入を発見してから7日以内にその事実を公式に報告する必要があるとする新しい報告要件を最終版として公開しました。この新規則は、FCCが以前に提案した内容を確定させ、2022年初頭にFCC委員長のジェシカ・ローゼンウォーセルが委員会の16年前の「違反」報告義務に対して初期の変更を起草した際に示唆されたものです。また、FBIおよび米国シークレットサービスへのデータ漏洩の報告も同様に7日以内に行う必要があります。新規則により、消費者への侵入報告のための従来の7日間の待機期間が撤廃され、通信事業者は「適切な違反の決定」を行った後、遅滞なく、かつ遅くとも30日以内に顧客に通知することが求められます。
さらに、FCCは通信事業者が顧客に通知する必要があるデータ漏洩の種類の範囲を拡大しました。新規則では、氏名、政府発行のID番号、認証目的で使用されるデータ、メールアドレス/パスワード、生体認証データがFCCの報告要件に含まれます。また、事業者が「顧客に対して害が生じる可能性が合理的に考えられない」と判断できる場合は、事件を購読者に通知する必要がないという例外も新たに設けられました。新規則はまた、「違反」の定義を「顧客情報の不注意によるアクセス、使用、または開示」に拡大しています。これらの新しい規則は、2024年3月13日に発効する予定です。
【ニュース解説】
米国連邦通信委員会(FCC)が通信事業者に対する新しいデータ侵害報告規則の最終版を公開しました。これにより、通信事業者はシステムが侵入されたことを発見してから7日以内にFCC、FBI、および米国シークレットサービスに報告する必要があります。また、消費者への報告に関しても、違反が「合理的に確定」された後、遅滞なく、かつ最大で30日以内に通知することが義務付けられました。さらに、報告すべきデータの種類が拡大され、氏名、政府発行ID番号、認証データ、メールアドレス/パスワード、生体認証データなどが含まれるようになりました。
この新規則は、通信事業者が顧客の個人情報をより厳格に保護することを目的としています。これまで、顧客の個人情報が漏洩した場合でも、特定の情報(CPNI)が漏洩していなければ、事業者は顧客に通知する義務がありませんでした。しかし、新規則により、より広範な個人情報が保護の対象となり、事業者はこれらの情報が漏洩した場合には顧客に通知しなければならなくなります。
この変更は、消費者のプライバシー保護を強化するものであり、データ侵害の透明性を高めることを目指しています。消費者は自分の個人情報が侵害された場合に迅速に知ることができ、適切な対策を講じることが可能になります。例えば、パスワードの変更や、不正アクセスの監視などが挙げられます。
しかし、この新規則にはいくつかの課題も存在します。例えば、事業者が「顧客に対して害が生じる可能性が合理的に考えられない」と判断した場合には、侵害を通知する必要がないという例外があります。この「害が生じる可能性」の判断基準が曖昧であると、事業者が報告を避けるための抜け穴となる可能性があります。
また、新規則の実施により、通信事業者には追加の負担がかかります。侵害の発見から報告までの短い期間内に、適切な調査を行い、関連する機関への報告を完了させる必要があります。これには、事業者のセキュリティ体制や対応プロセスの見直し、強化が求められるでしょう。
長期的には、この新規則は通信事業者によるデータ保護の強化を促し、消費者の信頼を高めることに寄与する可能性があります。しかし、その過程で事業者と規制当局の間で調整や摩擦が生じることも予想されます。最終的には、この新規則がどのように実施され、適用されるかが、その成功の鍵を握ることになるでしょう。
from FCC gets tough: Telcos must now tell you when your PII is stolen.
