信頼しますが、確認してください。これは、所有する機密データの処理を依頼する企業へのアプローチを含め、さまざまな状況において良いアドバイスです。たとえ違反が最終的にサービスプロバイダーの行為に遡ったとしても、個人情報が含まれていた顧客や従業員の観点から見ると、しわ寄せはあなたに止まります。そのため、「セキュリティから始めましょう」は、サービスプロバイダーが合理的なセキュリティ対策を確実に導入するよう企業に警告しています。
サービス プロバイダーを導入する前に、セキュリティの観点から何を期待しているかを明確にしてください。彼らが仕事を成し遂げるための技術を持っていることに満足してください。手順を組み込むことで、ユーザーに代わって彼らが何を行っているかを監視できます。そして、彼らが約束を必ず守るようにしてください。
ここでは、FTC の法執行機関の行動、調査、企業から寄せられた質問に基づいて、サービス プロバイダーにセキュリティから始めて、それを継続するよう奨励するために実行できる手順を示す例をいくつか示します。
デューデリジェンスを行ってください。
ボンネットの下をチェックする前に中古車を購入することはありませんし、最高の状態にあるという売り手の約束だけに基づいて家を購入することもありません。データセキュリティも同様です。多くの場合、情報は企業が持つ最も重要な資産の 1 つです。他人の管理下に置く前に、その情報がどのように使用され、保護されるかを必ず理解してください。
例: ある企業は、データ処理を処理する請負業者を雇おうとしています。同社は 2 社の請負業者から入札を受けています。1 社はこの分野で有名な企業で、もう 1 社は料金が大幅に安い新参企業です。同社は、単に確立されたブランド名や低価格入札者を選択するのではなく、特に、自社のデータをどのように保護するか、誰がデータにアクセスするのか、どのように訓練するのかなどについて、両方の請負業者に詳細な質問をします。従業員がデータを安全に維持できるようにします。企業は、受け取った回答に満足した場合にのみ契約を締結する必要があります。その場合でも、企業は契約書に合理的なセキュリティを要求する特定の条項を含める必要があります。
それを書面に書いてください。
データ セキュリティは非常に重要であるため、漠然とした「とにかくやってみましょう」という契約に留めておくことはできません。期待、パフォーマンス基準、監視方法を契約書に記載するだけで済むようになると、双方にとって利益が得られます。
例: ある企業は、毎月の請求書を顧客に送信するためにサービスプロバイダーを雇っています。同社はサービス プロバイダーに、顧客の希望する支払い方法を含むアカウント情報へのアクセスを許可し、サービス プロバイダーはデータのスプレッドシートを作成します。同社とサービスプロバイダーとの間の契約には、適切なセキュリティを維持するための要件は含まれていません。サービス プロバイダーにはファイアウォールが設置されておらず、保存中または転送中のデータも暗号化されておらず、システム ログや侵入検知システムも実装されていません。契約で合理的なセキュリティを要求せず、サービス プロバイダーが実施する必要があるセキュリティ対策を指定しなかったため、同社は顧客の機密情報を保護する機会を逸しました。
例: ある国の人材派遣会社は、在宅勤務でデータ入力を行う従業員を全国から募集しています。同社は地域の人事請負業者を雇用して、新入社員が最初の人事書類を作成するのを支援しています。人事請負業者は新入社員の自宅を訪問し、社会保障番号などの機密の個人情報が含まれる適切なフォームに記入してもらいます。人事請負業者はフォームの写真を撮り、新入社員のパソコンを使用して情報をアップロードし、電子メールで人材派遣会社に送り返します。より良い方法は、人材派遣会社が契約書に情報を伝達するためのより安全な方法を指定し、その規定に違反して機密データが送信された場合は直ちに人事請負業者に連絡することです。
コンプライアンスを確認します。
おつりを数え、ホテルの予約を確認し、クレジット カードの明細を確認します。ダブルチェックするのは理にかなっています。そのため、企業はサービスプロバイダーがセキュリティ関連の契約条項を遵守しているかどうかを慎重に確認しています。
例: キャンプ用品を販売する小売店は、ハイキング コースに関する情報を提供するアプリの開発を会社に依頼しました。小売業者は、ユーザーが積極的にオプトインし、小売業者がアプリ開発者との契約にその旨の条項を含めない限り、位置情報データを収集しないと主張してアプリを販売するつもりです。アプリをリリースする前に、小売業者はアプリをテストし、アプリがすべてのユーザーから位置情報を収集し、広告ネットワークに送信していることを確認します。契約書に期待事項を明記し、開発者がそれを尊重しているかテストすることで、小売業者はアプリをリリースする前に問題を修正することができます。
セキュリティ中心の企業へのメッセージは、機密情報にアクセスするサービス プロバイダーとの契約に期待を組み込むことです。さらに、彼らがあなたのために何をしているのかを監視する方法があることを確認してください。
シリーズの次は: セキュリティを最新の状態に保ち、発生する可能性のある脆弱性に対処するための手順を整備します。