なりすまし犯罪の防止を目的とする米国の新しいデータ・セキュリティ法案「Data Accountability and Trust Act(DATA)」が,米下院のエネルギーおよび商業対策委員会(House Energy and Commerce Committee:HECC)において41対0で可決された。同委員会が米国時間3月29日に明らかにした。
同法案は,個人情報が盗まれる危険性がある場合にはそれを本人に通知することを義務付けるなど,消費者の個人情報を収集するデータ・ブローカに対して新しい義務規定を盛り込んでいる。米連邦取引委員会(FTC)では,個人情報の窃盗による被害額は1年間で企業が480億ドル,消費者で50万ドルになると推定している。
DATAにより,FTCはデータ・ブローカが個人情報を保護するための国家基準を策定する。データ・ブローカは,セキュリティ・システムに侵入の形跡がないかを定期的に監視するとともに,保持するデータの「収集,使用,販売,配布,セキュリティ」について説明するセキュリティ・ポリシーを整えることが義務付けられる。セキュリティ侵入を受けたデータ・ブローカは,その後5年間または委員会に認められるまでFTCまたは第三者の監査の対象となる。
また,一般の企業にもなりすまし犯罪などの不正行為が行なわれる危険がある場合には,被害を受ける可能性がある本人とFTCに通知するように求めている。侵入を受けた形跡のある企業には,自社のWebサイト上で明確に告知することも義務付けている。データを暗号化している企業に関しては,この通知義務を免除している。いくつかの技術団体が,企業によるデータの暗号化が促進されるとして,これら企業の通知義務の免除を盛り込むように求めていた。
消費者は,データ・ブローカが保持する個人情報に年に1回アクセスする権利が与えられ,誤った情報を訂正することが可能になる。
ミシガン州選出の民主党議員のJohn Dingell氏は「この法案は,『データの保護ができないならば,集めるな』という明確なメッセージを示している」とコメントしている。
[発表資料へ]
