データ漏えい通知法：自信を持って対応する方法

報告されたデータ侵害の数は毎年着実に増加しており、それらは頻繁にニュースになっているため、すべてを正確に保つことは困難です。 2017年、Equifaxは大規模な侵害に見舞われ、約1億5,000万件の顧客レコード（米国の人口のほぼ半分に相当）が盗まれました。 2018年、マリオットインターナショナルは、個人情報、クレジットカード番号、さらにはパスポート番号など、何億もの顧客記録が侵害されたという侵害を経験しました。

データ漏えいは、大小、人気があり、ほとんど知られていない、あらゆる種類の組織に影響を及ぼします。大企業の侵害がニュースになっている一方で、脆弱でサイバー犯罪者の十字架に身を置く可能性のある中小企業についてはほとんど耳にしません。ほとんどの場合、フィッシング攻撃やマルウェアなど、攻撃者が保護された情報や個人情報に正常にアクセスできる、ある種のハッキングが含まれます。

情報漏えい通知法–複雑です

あなたの製造会社が侵害を経験した場合、あなたはどうしますか？すぐに法執行機関に通知する必要がありますか？顧客に通知しますか？他に知らせてくれる人はいますか？どれくらいありますか？

答えは複雑です。包括的な連邦法は存在しませんが、各州および準州には独自のデータ侵害通知法があります。これらの法律は、違反に苦しんでいる、またはその疑いがある人は誰でも、個人を特定できる情報に関連することを顧客に通知することを義務付けています。法律はまた、法執行機関に通知し、状況を改善するための特定の措置を講じることを要求しています。しかし、対象となる情報の種類、通知のタイミング、報告基準に関しては、州法は大きく異なります。誰が遵守しなければならず、何が個人データを構成するかは州ごとに異なります。複雑さに加えて、要件も変化しており、一部の州では最近法律が更新されています。

データ侵害を報告するのにどのくらいの時間が必要ですか？

ほとんどのデータ通知法は、企業が不当な遅延なしに顧客に通知することを要求しています。時間の長さは、州や産業部門によって異なります。データ侵害に対処する場合、製造業者は、自社、業界の他の企業、顧客、および法執行機関に対して、競合する責任を負います。法執行機関が違反を調査していて、一時的に隠蔽しなければならない状況もあります。

データ漏えいが発生する前に準備する

他の災害計画と同じように、データ侵害通知計画を扱います。待ってはいけません。データ漏えいに対する単一の標準的な対応はないため、米国の製造業者は、それらに適用される特定の州法および連邦法を理解する必要があります。製造業者は、事業を行うすべての州の法律を考慮する必要があります。

幸いなことに、メーカーが明確にするために頼ることができるいくつかの優れたリソースがあります。全米州議会議員会議、ITガバナンス、パーキンスコーイなど、いくつかの組織が州のデータ侵害法を要約しています。

製造会社がデータ保護法に準拠していることを確認するには、州および業界の現在の規制を常に把握しておく必要があります。データ漏えいは常にストレスの多い出来事です。あなたの義務を認識し、計画を立てることで、ストレスの一部を和らげることができ、重い罰金を回避するのに役立ちます。ここにいくつかのヒントがあります：

• 会社を対象とする州法および業界法を特定します
• 会社に影響を与えるデータ侵害通知の要件と、最悪のシナリオでそれらの要件を満たすためのプロセスを文書化します
• 会社に影響を与える違反通知要件に関するポリシーを作成します
• 重複する規制がある場合は、会社のポリシーに最も厳しい規制を使用してください
• 事前にドラフト通知レターとメールを作成します
• データ侵害に対する明確なコミュニケーション戦略を作成し、必要に応じて、事前に会社の法務および広報部門に伝えます。

MEP全国ネットワークはあなたを助ける準備ができています

州のデータ侵害通知法やその他のサイバーセキュリティに関する質問を理解するために、MEP National Network ^{TM > 。}