コラム
2020年03月03日
サイバーセキュリティとニューヨーク州法 ~SHIELD Actの施行~
【執筆者】玉置 菜々子
サイバー保険への個別加入を推奨する記事をしばしば目にするようになりましたが、その検討要素となり得る個人情報保護関連の法改正が、カリフォルニア州を筆頭に米国各州で進められています。今般、ニューヨーク州でも、域外適用を示すStop Hacks and Improve Electric Data Act(以下「SHIELD Act」といいます。)が成立しましたので、その主要な点をご紹介いたします。
1.ニューヨーク州における従前の情報漏洩通知義務(Data Breach Notification)概要
米国においては、日本や欧州と異なり、包括的・一般的な個人情報保護法は存在せず、事業分野や対象となる情報毎に連邦レベルで、また、各州レベルで規制がなされています。その中でも、個人情報漏洩時に対象者に通知する義務を課す法律(Data Breach Notification law)についてはニューヨーク州を含む全ての州で成立しています1。
ニューヨーク州のData Breach Notification Lawとして、民間団体による私的情報漏洩時の通知義務に関するN.Y. General Business Law(以下「NYGBL」といいます。)§899-aaが存在していました。SHIELD Actによる同条改正以前は、ニューヨーク州で事業を営んでおり、私的情報(Private Information; 以下、「私的情報」とはNYGBLにおけるPrivate Informationを指します。)を含む電子化された情報(computerized data)を所有(own)、ライセンス(license)又は管理(maintain)しているあらゆる法的主体又は事業主体(any person or business)は、保有又は使用を許諾している私的情報を含む電子化された情報の不正な取得を発見し又はその通知を受けた場合には、その不正取得の対象となる私的情報が帰属するニューヨーク州居住者へその事実を開示しなければならないとされていました。すなわち、本改正以前においては「ニューヨーク州で事業を営む2」もののみに上記の通知義務が課されていましたので、州外及び米国外の団体への適用は想定されていませんでした。
しかし、SHIELD Act3成立によるNYGBL§899-aaの改正及びNYGBL§899-bbの創設により、「ニューヨーク州で事業を営むもの」の要件が撤廃され、州外、さらには米国外の民間団体への適用の可能性が生じてきましたので、本稿において、SHIELD Actの主要な点をご紹介いたします。以降、本稿では、改正以前のNYGBL§899-aaをData Breach Notification Law、改正後のNYGBL§899-aaとNYGBL§899-bbを併せて、SHIELD Actと便宜的に呼称いたします。
なお、通知義務に関する条項(NYGBL§899-aa)については、2019年10月23日から施行されており、情報セキュリティ措置に関する条項(NYGBL§899-bb)については、2020年3月21日から施行されます。
2.SHIELD Actによる改正点―義務者の拡大
上記のとおり、従前、ニューヨーク州におけるData Breach Notification Lawは、その義務者を「ニューヨーク州で事業を営むもの」と限定していましたが、SHIELD Actはかかる限定を撤廃しました。
かかる立法経緯に鑑みれば、SHIELD Actは、ニューヨーク州において事業を営んでいない他州さらには米国外の法人又は個人にも、ニューヨーク州居住者の私的情報を取り扱う場合には、漏洩時の通知義務及び後述する新設された情報セキュリティ措置義務を課すものであると考えられます。
3.SHIELD Actによる改正点―Private Informationの拡大
通知義務及び情報セキュリティ措置義務の保護対象は、ニューヨーク州居住者の電子化された「私的情報」とされています。従前のData Breach Notification Lawにおける私的情報は、一定の要素を含む個人情報4(Personal Information; 以下、項目3から6の「個人情報」とはNYGBLにおけるPersonal Informationを指します。)として定義されていました。具体的に、私的情報とは、(1)SSN、(2)運転免許証番号(及び非運転者特定証番号(non-driver’s identification card number))、又は、(3)金融機関口座、クレジットもしくはデビットカード番号及びセキュリティコード、アクセスコード、パスワードその他個人の金融機関口座へのアクセスを可能にする情報、のうち(1)から(3)のいずれか一つ以上の要素を含む個人情報と定義されていました。ところが、SHIELD Actによって、この私的情報の概念が拡大されました。
まず、(1)から(3)に加えて以下の要素を含む個人情報も私的情報に追加されました。
- 金融機関口座へのアクセスを可能とする口座情報、クレジット又はデビットカード情報単体(但し、セキュリティコード、アクセスコード又はパスワードその他特定情報がなくとも金融機関口座へのアクセスが可能な場合)
- 生体情報(電磁的方法による生成された個人特有の身体的特徴の情報であり、指紋、声紋、Retina又はIris画像、その他個人の特定を確実にする生体情報)
- パスワード又はオンラインアカウントへのアクセスを可能とするセキュリティ質問とその答えと組み合わされたユーザー名又はメールアドレス
加えて、以下の情報については、それ単体で、私的情報に含まれることとなりました。
すなわち、個人情報が含まれておらずとも、特定のオンラインアカウントへのアクセスを可能とするユーザー名又はメールアドレスとパスワード等との組み合わせについては、通知義務及び情報セキュリティ措置義務の対象になると考えられます。また、上記「オンラインアカウント」については、金融口座(financial account)とは別に定義されており、カリフォルニア州等における同種の立法解釈と照らし合わせれば、SNSやオンラインゲームのアカウントもこれに含まれると解される可能性が高いと考えます。
なお、連邦、州政府又は地方自治体から公衆に対して提供されている情報5については、私的情報から明示して除外されています。
4.SHIELD Actによる改正点―Unauthorized Accessの場合の通知義務
本改正前においては、不正な私的情報の「取得」(acquisition)があった場合に通知を要するものとされていました。
しかし、私的情報の「取得」にまで至らずとも、私的情報への「アクセス」がなされれば無体財産である私的情報の利用は可能であることから、本改正により、通知義務の発動事由を不正な私的情報の「取得」のみならず、「アクセス」にまで拡大しました。そのため、本改正により、「取得」の有無だけでなく、「アクセス」の有無を管理するための措置が黙示的に要求されたと考えられます。
なお、「取得」の有無の判断に関して考慮しうる事由としては、パソコンその他情報機器の紛失・盗難、私的情報のダウンロードや複製、私的情報を利用した不正なアカウントの開設やなりすまし(identity theft)事例の報告、が例示列挙されており、「アクセス」の有無の判断に関して考慮しうる事由については、権限を有しない者による情報の閲覧や変更などが挙げられています。
5.SHIELD Actによる改正点―Reasonable Security Requirementの新設
SHIELD Actにより、ニューヨーク州居住者の私的情報を所有又はライセンスする法的主体又は事業には、私的情報が不正に取得された場合の通知義務だけでなく、合理的な情報セキュリティ措置(reasonable safeguard)を設けることが義務付けられました(NYGBL§899-bb)。
それでは、具体的にどのような措置を設ければよいのでしょうか。SHIELD Actは、原則として、以下の手続的措置(Administrative Safeguard)、技術的措置(Technical Safeguards)及び物理的措置(Physical Safeguards)を含む情報セキュリティ措置の実施を要請しています。各措置の具体的な内容については、以下の小項目が例示列挙されています。
(1) 手続的措置
・1名以上の情報セキュリティプログラムをコーディネートする従業員を指定すること
・合理的に予見可能な内的・外的リスクを特定すること
・特定されたリスクについて現在施されている管理措置(safeguard)の十分性を検証すること
・情報セキュリティプログラムの実施及び手続に関与する従業員を訓練すること
・適切な情報セキュリティ措置を維持できるサービスの提供者を選択し、適切な情報セキュリティ措置を契約で要求すること
・事業や状況の変化に応じて、情報セキュリティプログラムを調整していくこと
(2) 技術的措置
・ネットワーク及びソフトウェアのデザインにおいてリスクを査定すること
・情報処理、発信及び保管におけるリスクを査定すること
・攻撃又はシステムダウンを発見し、予防し、これに対処すること
・重要な制御装置、システム及び手続きの有効性を定期的に試験かつモニタリングすること
(3) 物理的措置
・情報保管及び処分のリスクを査定すること
・侵入を発見し、予防し、これに対処すること
・私的情報の収集、移送、破壊及び処分期間中又はその後の不正なアクセス又は使用から保護すること
・事業目的での必要がなくなった私的情報について、合理的な期間で、情報が読み取り又は再製されないように電子媒体を消去することにより、私的情報を処分すること
これらの具体的措置についても、あくまで例示列挙であることから、自社のサイバーリスクに合わせて、専門家を交えつつ、情報セキュリティ措置を構築することが望まれます。
なお、SHIELD Actは、情報セキュリティ措置について、小事業(Small Business)6の特例を定めており、小事業者は、その事業の規模及び複雑さ、事業の性質及び範囲、並びに収集する個人情報の機微性に応じて合理的な情報セキュリティ措置を取れば義務順守をしているものとみなされると規定していますが、その具体的な内容については法文上明示されておらず、この点からも、専門家を交えた制度設計が望ましいと言えます。
6.改正法に違反した場合の効果
仮にSHIELD Actが定める義務に違反した場合には、いかなる不利益があるのでしょうか。
まず、私的情報への不正なアクセス又は取得があったときの通知義務違反の場合には、ニューヨーク州の法務長官(Attorney General)が同義務違反を信ずるに足りる十分な証拠を得た場合に、同法務長官が提訴することができます。かかる手続きにおいて、裁判所は通知を受けられたはずの者の結果損害(consequential financial loss)を含む実損の損害賠償を命じることができるとされています。さらに、故意又は重過失により通知義務に違反した場合には、5000ドル又は1件につき最大20ドル(但し、250,000ドルを上限とする)のいずれか高額な方の罰金7を科すことができます。
次に、情報セキュリティ措置義務違反の場合にも、同様に法務長官に提訴権限が与えられており、かかる義務違反の差し止め及び罰金を課すことができると定められています。なお、現時点において、私的出訴権(private right of action)は明示的に否定されています。
7.まとめ
以上のとおり、ニューヨーク州SHIELD Actによる改正点を概説してきましたが、サイバーセキュリティに関する立法は米国各州において高まりを見せており、ついに、連邦議会においても、消費者のプライバシーに関する連邦レベルでの立法が検討されています。また、米国を含む諸外国において、昨今改正又は立法される個人情報保護法は、インターネット時代を踏まえ、域外適用を認める傾向にあることから、日本国内企業においても、SHIELD Act含む諸外国における立法を念頭に置いた個人情報保護措置の構築、サイバー保険への加入の検討が必要です。そして、各国において時々刻々と制度が変更されていく中で、具体的にいかなる個人情報保護措置を構築するか、いかなるサイバー保険へ加入するか等のサイバーリスクへの対抗策については、専門家を交え、対応していくことが必要だと考えます。
最後に、本稿は、執筆者独自の調査に基づいて作成されたもので、所属する法律事務所を代表して報告するものではなく、本稿は法的助言ないし法的サービスとして公表又は提供するものでもありません。また、法文の和訳については公的なものではなく、執筆者独自のものです。
1http://www.ncsl.org/research/telecommunications-and-information-technology/security-breach-notification-laws.aspx,National Conference of State Legislatures, 10/25/2019
2原文においては、本改正以前の義務者は、Any person or business which conducts business in New York state, and which owns or license computerized data which includes private informationと規定されています。
3原文は、こちらをご参照ください。https://legislation.nysenate.gov/pdf/bills/2019/S5575B
4個人情報は、名前、数字、個人的な記号識別子により個人を特定することができる自然人に関する情報と定義されています。
5原文では、「publicly available information which is lawfully made available to the general public from federal, state, or local government records」と規定されています。
6従業員が50名未満、直近3会計年度における各年の年間総収入が300万ドル未満、又は期末総資産が500万ドル未満の法的主体又は事業とされています。
7この罰金は、Civil Penaltyです。