米国証券取引委員会（SEC）は、登録されたブローカーディーラー、投資会社、投資顧問、および譲渡代理店などの特定の金融機関に対し、データ侵害が発生した場合に顧客に通知すること、また事故対応計画を有することを要求する規則を発表した。この要求は、消費者の財務情報を保護するために2000年に制定された規制S-Pへの改正の採用である。SECのゲーリー・ゲンスラー議長は、データ侵害の性質、規模、および影響が過去24年間で大きく変化したと述べ、規制S-Pへのこれらの改正が顧客の財務データのプライバシーを保護するのに役立つと説明した。改正により、対象となる企業は個人データが危険にさらされる可能性のある侵害を顧客に通知する必要があり、顧客は侵害の否定的な結果に備える機会を得る。対象組織は、顧客情報の漏洩を知った後、可能な限り迅速に、遅くとも30日以内に被害者に通知し、事件の詳細、漏洩したデータ、および被害者が自己を保護するためにできることについての情報を提供しなければならない。改正は、連邦官報に掲載されてから60日後に効力を発する。大規模な実体は連邦官報に掲載された日から18ヶ月以内に、小規模な実体は24ヶ月以内に改正に準拠しなければならない。

【ニュース解説】

米国証券取引委員会（SEC）は、金融機関に対して、データ侵害が発生した際に顧客に通知すること、及び事故対応計画を有することを義務付ける新たな規則を発表しました。この規則は、ブローカーディーラー、投資会社、投資顧問、譲渡代理店などの登録された金融機関が対象となります。これは、消費者の財務情報を保護する目的で2000年に制定された規制S-Pへの改正であり、データ侵害の性質、規模、および影響が大きく変化したことに対応するための措置です。

この改正により、対象となる金融機関は、顧客の個人データが危険にさらされる可能性のある侵害を発生した場合、顧客に対して通知を行う必要があります。この通知は、顧客情報の漏洩を知った後、可能な限り迅速に、遅くとも30日以内に行われる必要があり、事件の詳細、漏洩したデータ、および被害者が自己を保護するためにできることについての情報を含む必要があります。これにより、顧客は侵害の否定的な結果に備える機会を得ることができます。

この新規則の導入は、デジタル時代におけるデータ侵害の増加とその影響の深刻化に対応するための重要なステップです。金融機関にとって、顧客の信頼を維持するためには、データ保護と透明性が不可欠です。この規則により、金融機関は事故対応計画を策定し、実施することが義務付けられ、顧客データの保護に対する意識が一層高まることが期待されます。

しかし、この規則の実施には、金融機関にとって一定の課題も伴います。例えば、迅速な通知プロセスの確立、事故対応計画の策定と維持、および関連するコストの増加などが挙げられます。また、小規模な金融機関にとっては、これらの要件を満たすためのリソースの確保が特に困難になる可能性があります。

長期的には、この規則が金融業界全体のセキュリティ基準を向上させ、顧客データの保護を強化することに貢献することが期待されます。また、顧客に対する透明性の向上は、顧客と金融機関との信頼関係を強化し、最終的にはより安全な金融環境の構築に寄与するでしょう。

from Financial institutions ordered to notify customers after a breach, have an incident response plan.