もちろん、FTC の和解条件はそのビジネスにのみ適用されます。しかし、情報に詳しい企業は、他人の疑いのある失敗から学べることがたくさんあることを知っています。 Upromiseに対するFTCの法執行措置も例外ではない。
訴状によると、大学貯蓄会員プログラムは、何が起こっているかを適切に開示せずに、ユーザーの個人情報を収集するツールバーを導入した。提案された命令の条項に基づき、Upromiseはユーザーのコンピュータに既にインストールされているツールバーをアンインストールする方法をユーザーに通知し、ツールバーをインストールまたは再有効化する前にユーザーのOKを得て、将来的にはデータ収集の実践を明確に開示する予定だ。この和解案ではまた、人々の個人情報のプライバシーとセキュリティに関する虚偽の表示を禁止し、今後20年間にわたり隔年ごとの独立したセキュリティ評価を含む包括的な情報セキュリティプログラムの実施をUpromiseに義務付けている。
この事件とその他の最近の法執行措置はあなたの会社にとって何を意味しますか?
始める前に知ってください。 キーを回す前に、ボンネットの下に何頭の馬がいるかを知る必要があります。同様に、ツールバーやアプリなどの新しいテクノロジーを展開する前に、それが収集する情報を明確にしてください。さらに良いのは、データ セキュリティの意思決定、検証、監視を設計プロセスに組み込むことです。通常、納品の数日前に修正をリバース エンジニアリングしたり、セキュリティ上の「おっと」に対応したりするよりも、最初から正しく修正する方が簡単です。
慎重に作ります。 少し前まで、マーケティング担当者は、収集する情報が多ければ多いほど良いと考えていました。そして、何かが技術的に実現可能であれば、全速力で前進すると考えられていました。しかし、費用のかかるセキュリティ侵害や厄介なデータの不具合のリスクを考えると、賢明な経営者はその考え方が重要であることを学びました。
教えてください。 一般的に言えば、この法律により、企業はデータ収集プログラムを柔軟に作成できるようになります。ただし、ベスト プラクティスは、収集したものをユーザーに伝え、一般の人が理解できる言葉で伝え、定められたポリシーを尊重することです。
サービスプロバイダーを常に監視してください。 Upromiseに対するFTCの訴状によると、同社はデータ収集の懸念を引き起こすツールバーとパーソナライズされたオファー機能の開発にサービスプロバイダーを雇ったという。しかし、FTC 法に基づき、企業は他者が自社に代わって行う行為に対して責任を負う可能性があります。提案された命令では、徹底的な情報セキュリティ プログラムの一環として、Upromise に対し、「個人情報を適切に保護できるサービス プロバイダーを選択および維持」するための合理的な措置を講じることと、サービス プロバイダーに「適切な情報セキュリティを実装および維持する」ことを要求する契約条項を含めることを求めています。保障措置。」この注文条項は Upromise に対してのみ法的拘束力がありますが、次回外部の企業と協力する場合には考慮すべき健全なアドバイスです。
