米国では、カリフォルニア州が伝統的にプライバシーに関する議論を主導してきました。これは変わりつつあります。現在、バージニア州、コロラド州、ユタ州、コネチカット州でビジネスを行っている組織はすべて、学習して遵守する必要のある新しい規制を抱えています。
2023 年に発効する規制の急増により、データ侵害のコストに新たな側面が加わり、準拠していない企業に実質的なコストがかかる可能性があります。既存の法律と今後の法律について、また、 より強力なパスワード ポリシーなど、シンプルだが効果的な変更を通じてビジネスとユーザーを保護する方法について学びましょう。
2023: データプライバシー法の年
法律の制定はゆっくりと進んでいますが、2023 年には以下の 5 つの規制のほぼすべてが発効し、州のデータプライバシー法にとって重要な年になります。今すぐ必要な変更の実装を開始し、将来の問題を回避してください。
- カリフォルニア州プライバシー権法 (CPRA) : 修正 カリフォルニア州消費者プライバシー法 (CCPA) は 2018 年に可決され、2023 年 1 月 1 日に可決され、2023 年 7 月 1 日に発効する予定でした。 カリフォルニア州上級裁判所は土壇場の判決により、施行を2024年3月29日まで延期することを決定した。CCPAは依然として完全に有効である。
- バージニア州消費者データ保護法 (VCDPA) : 2021 年 3 月に可決され、2023 年 1 月 1 日に施行された 2 番目の州プライバシー法。
- コネチカット州データプライバシー法 (CTDPA) : 2022 年 5 月に可決され、この法律はつい最近、2023 年 7 月 1 日に施行されました。
- コロラド州プライバシー法 (CPA) : コネチカット州と同様、2023 年 7 月 1 日に発効しました。ただし、ユニバーサル オプトアウト メカニズムの要件が発効するのは 2024 年 1 月 1 日のみです。
- ユタ州消費者プライバシー法 (UCPA) : 裏を返せば、これはついに 2023 年 12 月 31 日に発効します。可決された州のプライバシー法が最後ではありませんが、UCPA の施行日がすべての最後の施行日となります。
規制は組織に何を期待していますか?
すべての法律は、組織が収集および使用する消費者情報の保護に重点を置いています。ただし、上記の州の企業にとって、さまざまなプライバシー法を理解することは困難です。複数の州にまたがる企業にとってはさらに困難です。
各規制は、データの収集と保存にアクセス、削除、オプトアウトする権利を提供します。 UCPA を除き、ほとんどすべての組織が既存の情報を修正する権利を提供しています。ほとんどの法律では機密データ処理のオプトアウトが認められておらず、機密データの定義は州ごとに異なります。
ありがたいことに、すべての規制では通常、間違いを修正するために少なくとも 30 日間の治癒期間が設けられています。
規制の違いは、異なる組織にどのように適用されるかです。ほとんどは、大量の消費者データを処理する大規模な企業や組織に当てはまります。以下の表を確認して、組織に適用されるデータ プライバシー法を確認してください。
|
カリフォルニア (CCPA および CPRA) |
総収益が 2,500 万ドル以上で、少なくとも 100,000 人の消費者のデータを処理するか、データの共有または販売から総収益の少なくとも 50% を得ている。 |
|
バージニア州 (VCDPA) |
これは、少なくとも 100,000 人の消費者または 25,000 人の消費者のデータを処理し、総収益の少なくとも 50% を売上から得ている企業に適用されます。 |
|
コネチカット州 (CTDPA) |
純粋に特許取引を除く、少なくとも 25,000 人の消費者のデータを処理し、データまたは 100,000 人の消費者の販売による総収益の少なくとも 50% をサービスする企業。 |
|
コロラド州 (公認会計士) |
少なくとも 100,000 人または 25,000 人の消費者のデータを処理し、個人データの販売から収益を得たり、割引を受けたりする企業。 |
|
ユタ州 (UCPA) |
年間総収益が 2,500 万ドルで、少なくとも 100,000 人の消費者のデータを処理するか、少なくとも 25,000 人の消費者のデータを処理し、少なくとも 50% の総収益を売上から得ている企業です。 |
侵害の結果
風評被害以外にも、各プライバシー法には失敗した場合の実際の金銭的コストが伴います。すべてが同じというわけではありませんが、違反に対する罰金はコネチカット州の 5,000 ドルからコロラド州の 20,000 ドルまでさまざまです。ほとんどの州では、わずかな違いはありますが、民事罰金は 7,500 ドルです。
最近、フィッシングの試みによる侵害の例が少なくありません。例としては、 2022 年後半の Activision 侵害、または 1 月初旬に発生したノートン LifeLock の侵害では、以前に侵害された従業員のアカウントを使用してノートンの顧客アカウントにログインし、データが損失しました。
ユーザー資格情報の侵害により IT システムが侵害され、ユーザー データが盗まれた場合、特に複数の州にまたがる大企業の場合、罰金はすぐに高額になる可能性があります。
強力な防御を構築すると、侵害による風評被害と実質的なコストを軽減できます。ほとんどの攻撃者は、推測しやすいパスワードや、以前に漏洩した資格情報など、簡単に実行できる成果を探します。
当然のことながら、企業は、コンプライアンスを通じて顧客を守り、罰金から自社を守り、悪評から自社の評判を守るにはどうしたらよいかを考えるかもしれません。積極的な企業は、データを保護することに重点を置いています。
自分自身を守る最善の方法の 1 つは、強力なパスワード ポリシー、多要素認証、および侵害されたパスワードの回避です。
パスワードセキュリティでビジネスと顧客を保護
パスワードが漏洩すると、インフラストラクチャの潜在的な脆弱性や顧客データの損失につながる可能性があり、州のさまざまなデータ保護規制に違反する可能性があります。状況によっては、コンプライアンス違反はさまざまな州のデータ保護法に関わる潜在的な責任と高いコストを意味します。
組織のパスワードを保護するための 2 つの側面からのアプローチは、セキュリティ上の欠陥を回避するのに非常に役立ちます。
まず、組織内で使用されている既存のパスワードを監査します。 Specops Password Auditor は、 Active Directory をスキャンして、9 億 4,000 万を超える侵害されたパスワードを含むパスワードの脆弱性をスキャンする無料のダウンロードです。
次に、次のようなツールを使用して、将来のパスワード変更を安全にし、最新の法律に準拠します。 Specops パスワード ポリシー パスワード保護が侵害されました。
Specops パスワード ポリシーは、グループ ポリシーの機能を拡張し、組織がより強力なパスワード ポリシーを適用し、コンプライアンス基準を満たし、30 億を超える既知の侵害されたパスワードをブロックするのに役立つ使いやすいインターフェイスを備えています。
.jpg)
漏洩したパスワードをブロックすることで、潜在的なデータ侵害や、最近可決されたデータ プライバシー法による高額な罰金から組織を守ることができます。
データプライバシーについて真剣に取り組む統計が増えているため、組織の安全を保つことがこれまで以上に重要になっています。
Specops Softwareが後援および執筆
Comments