賢明なビジネスマンは、自社のデータ侵害のリスクを最小限に抑える方法を模索しています。多くの企業は FTC の苦情と命令を参照していますが、それぞれの命令には FTC 法に違反したとされる行為の詳細な説明が含まれています。おそらくそれは、同社が消費者の機密データを扱う際に講じると述べた注意に関する約束を破ったのかもしれない。また、失敗のパターンが重なって、顧客の機密情報の盗難や悪用につながるケースもあります。
しかし、データセキュリティに対する当社のアプローチを知る唯一の方法ではありません。 FTC のプレス リリース、ビジネス ガイダンス出版物、ビデオ、講演、ワークショップ、レポート、セキュリティを中心とした 150 以上のビジネス ブログ投稿、およびその他のコミュニケーションは、FTC 法がデータ セキュリティにどのように適用されるかについて実践的なアドバイスを提供します。特に実用的な情報源の 1 つは、FTC 訴訟から学んだ教訓を、あらゆる規模の企業に適用できる管理可能な 10 の基本事項にまとめた基本パンフレットである「Start with Security」です。
企業からは今後もガイダンスを継続するよう求められているため、私たちは新たな取り組みを発表しています。 セキュリティを徹底する。今後数か月間、セキュリティから始める 10 の各原則に焦点を当てたビジネス ブログ投稿を毎週金曜日に公開します。今回は、一連の仮説を使用して、企業が保有する機密データを保護するために実行できる手順を詳しく掘り下げていきます。企業がセキュリティから始めるだけでなく、セキュリティを継続して防御を強化するのに役立つ、簡単に適用できるヒントを提供します。
私たちはどこで手に入れていますか セキュリティを徹底する 例は?まず、『Start with Security』の出版以降に発表された新たな和解や訴訟を含む、FTC の 60 件を超える苦情と命令から説明します。
私たちのもう一つの重要な情報源 セキュリティを徹底する 例としては、全国の企業の経験があります。私たちは、機密情報を保護する際にお客様が直面する日々の課題に耳を傾け、データ セキュリティの課題に対処するためにお客様が講じている実践的なアプローチから学びました。
さらに、スタッフがそれ以上の措置を講じずに終了した調査から学ぶべき教訓もあります。公開終了通知書がない限り、当社はこれらの事項の対象者の身元を明らかにしませんが、これらの調査を終了することを決定した際の当社の考え方に影響を与えた一般原則を他の企業に説明するために私たちができることはもっとあると考えています。 。
企業からよく寄せられる予備的な質問は、調査中に繰り返し発生するテーマがあり、最終的には法執行機関なしで終了するかどうかです。私たちが気づいたことの 1 つは、これらの企業の実践が、「セキュリティから始める」の常識的なセキュリティの基本と一致していることが多いということです。たとえば、企業は通常、スタッフのトレーニング、機密情報の安全性の確保、脆弱性への対処、新たな脅威への迅速な対応のための効果的な手順を導入していました。
以下に、皆さんが聞いたことがある侵害の調査が必ずしも FTC の法執行に結びつかなかった理由についての洞察を提供する、その他の浮上したテーマをいくつか紹介します。
- この物語には、見た目以上に(またはそれ以下の)内容が含まれています。
あなたと同じように、FTC スタッフもニュースを読んでいます。データ侵害や潜在的な脆弱性に関するニュースを常に目にします。しかし、報道は潜在的な捜査の始まりに過ぎず、時には当初報道された内容以上のことが判明することもあります。たとえば、ニュースレポートは侵害について注意を喚起しますが、データが暗号化されていたという事実には焦点を当てていない可能性があります。これは、消費者被害のリスクを大幅に軽減する要素です。あるいは、内部関係者とされる人物が、企業は古い消費者データを安全に廃棄していないと主張しているのかもしれませんが、企業はそれを示している信頼できる証拠を私たちに提供してくれました。そのため、場合によっては煙が発生した可能性がありますが、さらなる調査により火災は発生していないことが判明しました。 - これ以上先に進むとリソースが有効に活用されません。
私たちは FTC を、適切な状況下では法執行機関として強力な威力を発揮できる小さな連邦機関だと考えています。しかし、私たちは納税者の税金を適切に管理する必要性を常に意識しています。企業の慣行が最初の懸念を引き起こす場合もありますが、法執行機関が公共の利益にならないことを示唆する要因は他にもあります。たとえば、場合によっては、中小企業が少量の非機密情報を収集している可能性があります。このような場合、侵害が発生した場合、限られたリソースを調査に費やす可能性は低くなります。 - 私たちは適切な代理店ではありません。
FTC はほとんどの商行為に対して広範な管轄権を持っているため、データ セキュリティに関しては私たちが最も重要な役割を果たします。しかし、警察は私たちだけではありません。その結果、私たちは関連する使命を持つ他の機関(ほんの数例を挙げると、司法省、保健福祉省、消費者金融保護局、連邦通信委員会、国家道路交通安全局など)と緊密に連携しています。場合によっては、疑惑の事件や行為が、別の法執行官にとってより自然に適合することがあります。その場合、当社は問題を他の機関に照会し、法律で認められているあらゆる支援を提供することがあります。これは、重複を回避し、調査を合理化し、データ セキュリティに対する一貫したアプローチを確保するための当社の取り組み方法の 1 つにすぎません。 - データに対するリスクは理論上のものです。
ここ数年、プライバシーとセキュリティの問題に焦点を当てる研究者が増加しています。それは私たちにとって歓迎すべき展開です。私たちは、新しいテクノロジーについて学び、調査の実践方法を特定するために、PrivacyCon やその他の場所で発表された最新の研究に注目しています。しかし、すべての研究が法執行につながるわけではありません。場合によっては、研究者が脆弱性を生み出す行為を私たちの注意を喚起する場合、その脆弱性が悪用されて消費者に損害を与えるリスクは、あり得るというより理論上のものであることがあります。たとえば、悪用するには非常に高度なツールが必要なモバイル デバイスの脆弱性が存在する可能性がありますが、その場合でもハッカーが消費者の携帯電話を手に持っている場合にのみデータが侵害される可能性があります。その場合、捜査は続行されるよりも見送られる可能性が高くなります。
/cdn.vox-cdn.com/uploads/chorus_asset/file/25739405/2185061353.jpg?w=100&resize=100,75&ssl=1 "Netflixのジェイク・ポール対マイク・タイソンの戦いはブルースキーにとって大きな瞬間だった")
