エリザベス・ウォーレン上院議員(マサチューセッツ州民主党)とマーク・ワーナー上院議員(バージニア州民主党)が米国上院に提出した新しい法案は、信用調査機関がデータセキュリティをいい加減に扱った場合、厳しい罰金を科すことになるというものだ。
データ侵害防止および補償法[PDF]は、少なくとも1つの個人識別情報(PII)を含む顧客記録を漏洩した信用機関に対して、影響を受けた人1人あたり100ドルの罰金を義務付け、漏洩したその他のPIIごとに50ドルの追加罰金を課します。
罰金は連邦取引委員会(FTC)が執行し、徴収された罰金の少なくとも半分は、ハッカーによってデータが盗まれた市民に還元されることが法案で義務付けられています。また、この法案では、信用機関のITセキュリティを定期的に点検するサイバーセキュリティ担当の責任者とオフィスを設置し、コンピュータセキュリティの重大な欠陥に対しては、企業に年間総売上高の最大75%の罰金を科すことが可能です。
Equifaxの大規模ハッキングで被害を受けていない人は立ち上がってください。おっと、おっと、みんな座ってください。
続きを読む
「今日の情報経済において、データは莫大な資産です。しかし、エキファックスのような企業が収集・集中管理している膨大な量の機密データを適切に保護できないのであれば、そもそもデータを収集すべきではないのです」とワーナー上院議員は述べた。
「この法案は、多くの場合、アメリカの消費者に知られることなく膨大な量の情報を収集するエキファックスのような企業が、アメリカ人のアイデンティティ管理と信用へのアクセスに不可欠なデータを保護するために適切な措置を講じることを保証するだろう。」
9月に発覚したエキファックスへのハッキング事件では、1億4,300万人以上のアメリカ人、1,500万人以上のイギリス人の個人情報、その他不明な人物の個人情報が流出し、その規模に対する怒りが広がっているにもかかわらず、同社は、税金控除の対象となる清掃費用を除けば、罰金や不利益を被っていない。
Equifaxだけがずさんな対応をしていたわけではありません。米国の信用情報修復業者であるNational Credit Federation(NCF)は、111GBの顧客データをAmazon S3バケットに公開し、窃盗犯の手中におきました。幸いにもセキュリティ研究者が先に発見し、その穴を塞ぎました。
この法案がエキファックスの情報漏洩が発覚する前に成立していたとしたら、同局は少なくとも15億ドル、場合によってはそれ以上の罰金を科せられていただろう。しかし、提案されている規則では、データ漏洩に対する罰金は企業の年間総売上高の50%に上限が設定される。
「ここでの金銭的インセンティブは全く不釣り合いだ。エキファックスは国内の成人の半数以上の個人情報が盗まれるのを許したが、その法的責任は限定的であるため、結局は情報漏洩で金儲けをすることになるかもしれない」とウォーレン上院議員は語った。
「私たちの法案は、エキファックスのような企業のデータ漏洩に対して巨額かつ強制的な罰金を課し、被害を受けた消費者に十分な補償を提供します。これにより、人々の懐にお金が戻り、このような漏洩が再び起こるのを防ぐのに役立ちます。」
この法案は、トランプ大統領の手に渡る前に、上院と下院を通過する必要がある。®
