あなたのビジネスが FTC のグラム・リーチ・ブライリーセーフガード規則の対象となっている場合、対象となる企業に特定のデータ侵害やその他のセキュリティ イベントを FTC に報告することを義務付ける規則の修正が現在施行されており、それを簡単に行えるようにしました。報告すること。
顧客情報を保護するための基準(友人たちはこれをセーフガード規則と呼んでいます)は、企業が「顧客の非公開個人情報のセキュリティと機密性を保護する」という議会の意図を反映しています。テクノロジーと時代に確実に対応できるようルールを見直す長年の取り組みの一環として、FTC はセーフガードルールを規制の監視下に置いた。消費者団体、業界関係者、その他からの多大な意見を経て、FTC は 2023 年 6 月 9 日に発効する特定の更新を発表しました。2023 年 10 月、FTC はデータ侵害とセキュリティ インシデントの報告に関連する修正規定を発表しましたが、企業には 6 か月の猶予期間が与えられました。 2024 年 5 月 13 日月曜日に発効する変更に備えるためです。
まず最初に。セーフガード規則の対象となるのは誰ですか?答えはFTCの管轄対象となる「金融機関」です。しかし、「金融機関」というと、預金伝票、窓口係、大理石のテーブルトップに鎖でつながれたボールペンなどのイメージが思い浮かぶ人は、考え直してください。この定義はそれよりも広く、消費者の機密財務情報を保有する可能性のあるさまざまな事業体が対象となります。この規則は、住宅ローン貸付業者、給料日貸付業者、金融会社、住宅ローンブローカー、アカウントサービサー、小切手現金化業者、電信送金業者、回収代理店、信用カウンセラーおよびその他の金融アドバイザー、納税準備会社、連邦政府の保険に加入していない信用組合など、13 種類の異なるビジネスを指定しています。 、SEC への登録を必要としない投資アドバイザーも含まれますが、そのリストでさえもすべてを網羅しているわけではありません。 「FTC セーフガード ルール: ビジネスで知っておくべきこと」では、ルールが自分に適用されるかどうかを判断するために役立つ非公式のスタッフ ガイダンスが提供されます。
セーフガードルールの報告義務が施行された今、企業は何をしなければならないのでしょうか?改訂された規則を読むことがコンプライアンスの取り組みの最初のステップとなるはずですが、ここにサムネイルのスケッチがあります。この修正案では、金融機関に対し、少なくとも 500 人の消費者の情報が関与したセキュリティ侵害について、できるだけ早く、発見後 30 日以内に FTC に通知することが義務付けられています。通知をトリガーするインシデントをルールで定義する方法は次のとおりです。
情報に関係する個人の許可なしに、暗号化されていない顧客情報を取得すること。暗号化キーが権限のない人物によってアクセスされた場合、顧客情報はこの目的では暗号化されていないとみなされます。不正な取得には、そのような情報の不正な取得がなかったこと、または合理的にありえないことを示す信頼できる証拠がない限り、暗号化されていない顧客情報への不正なアクセスが含まれると推定されます。
あなたの会社でそのようなことが起こった場合、私たちは、あなたがセーフガード規則の報告要件をできるだけ簡単に遵守できるようにしたいと考えています。提供する必要がある特定の情報を平易な言葉で説明する新しいオンライン フォームを使用する必要があります。
もちろん、セーフガード ルールには、ビジネスのセキュリティを強化するための規定がすでに導入されています。詳細については、「FTC セーフガード ルール: ビジネスで知っておくべきこと」を参照してください。また、セーフガード規則の遵守は、他の州法および連邦法に基づく義務に代わるものではないことにも留意してください。
