米連邦預金保険公社,米連邦準備制度理事会,米通貨監督庁,貯蓄金融機関監督局は,金融機関が顧客情報の流出といったセキュリティ侵害にあった場合にとるべき対処の規定を,米国時間3月23日に通達した。
「Interagency Guidance on Response Programs for Unauthorized Access to Customer Information and Customer Notice」と名付けた規定では,顧客情報への不正アクセスが発生したことを顧客に伝える手順などについて説明している。また,不正アクセスを確認した時点ですぐに,適切な調査を実施し,情報が不正使用されていないか,あるいは不正使用される可能性がないかを確認するよう求めている。情報の不正使用が認められた場合,あるいは可能性が高い場合は迅速に該当顧客に知らせなければならないが,「当局の捜査の妨げになる場合は,顧客への告知が遅れることもありうる」としている。
同規定のもとでは,金融機関は顧客の重要情報に関連するセキュリティ侵害を受けた際には,顧客に連絡した場合でもしない場合でも,連邦当局に通報しなければならない。
なお,米メディアの報道(internetnews.com)によると,同規定は,商用口座や企業口座には適用せず,偽のWebサイトなどの第三者に情報を提供してしまった顧客なども対象外とする。
◎関連記事
■米LexisNexisで個人情報の流出,3万2000人分の社会保障番号などが漏えい
■信用調査会社米ChoicePointの個人情報流出,対象は約14万5000人に拡大
■米Bank of America,米政府用法人クレジットカードの顧客情報を紛失
■情報漏えい事件で最も多い原因は?
■フィッシング詐欺とカード偽造事件
■「過去3カ月で,悪質なテレマーケティングに対する22件の法的措置に重大な展開」,FTC
■「今後はステルス型のフィッシングが増える」,APWG事務局長
■「端末の盗難・紛失によるデータ漏洩を撲滅」、日立がディスクを搭載しないノート・パソコンを発表
[発表資料へ]
