SEC: Financial orgs have 30 days to send data breach notifications

証券取引委員会(SEC)は、特定の金融機関に対し、発覚から30日以内に影響を受けた個人に対し、データ漏洩事件を開示することを義務付ける規則S-Pの改正を採択した。

レギュレーションS-Pは2000年に導入され、一部の金融機関が消費者の非公開個人情報をどのように扱わなければならないかを規制している。これらの規則には、データ保護方針の策定と実施、機密性とセキュリティの保証、予測される脅威からの保護などが含まれる。

今週初めに採択された新しい改正は、ブローカー・ディーラー(資金調達ポータルを含む)、投資会社、登録投資顧問会社、証券代行会社などの金融会社に影響を与える。

この改正は、データ漏洩や非関連者への暴露から個人の財務情報を保護するための近代化と改善を目的として、昨年3月に提案されたものである。

以下は、導入された変更の概要である:

  • 機密情報が許可なくアクセスまたは使用された場合、またはその可能性がある場合、30日以内に影響を受ける個人に対し、インシデント、漏えいしたデータ、講じた保護措置の詳細を通知すること。情報が漏えいした個人に実質的な損害や不都合が生じないと予想される場合は、適用除外となる。
  • 顧客情報への不正アクセスまたは不正使用を検知し、対応し、回復するためのインシデント対応プログラムに関する方針および手順を文書化し、実施し、維持する。これには、セキュリティ・インシデントの評価と封じ込め、ポリシーの実施、およびサービス・プロバイダーの監督手順を含むべきである。
  • 他の金融機関から受け取ったものも含め、すべての非公開個人情報をカバーするよう、保護措置および廃棄規則を拡大する。
  • 資金調達ポータルを除き、保護措置および廃棄規則の遵守の文書化を義務付ける。
  • 年次プライバシー通知の配布をFAST法に合わせ、特定の条件を除外する。
  • セーフガードと処分に関する規則を、SECまたはその他の規制機関に登録された証券代行業者に拡大する。

この修正は、2000年に採択された当初は、今日のサイバーセキュリティの状況において、顧客の金融データのプライバシーをもはや適切に保護することができない規則の重要な更新を意味する。

「この24年間で、データ侵害の性質、規模、影響は大きく変化した

「今回の規制S-Pの改正は、2000年に初めて採用された規則に重要なアップデートを加えるものであり、顧客の金融データのプライバシー保護に役立つものである。

「対象企業にとっての基本的な考え方は、情報漏洩が発生した場合、それを通知しなければならないということだ。これは投資家にとって良いことだ。

この改正は、米国連邦政府の機関紙である連邦官報(Federal Register)に掲載されてから60日後に発効する。

大企業は、連邦官報に掲載されてから18ヶ月後が遵守期限となる。中小企業については、この期間は2年に延長される。

SECは12月、すべての公開企業に対し、情報漏洩が事業戦略、経営成績、財務状況に重大な影響を与えた場合、または与える可能性が合理的に高い場合、情報漏洩があったことを開示するよう求める新規則を導入した。