［米国］
米国会計検査院、データ侵害通知法案の効果に“疑問符”

コスト負担の増大を招くだけで利益は限定的?

（2007年07月06日）

　米国会計検査院（GAO）は、7月5日に発表したリポートの中で、大規模なデータ侵害の多くは個人情報の盗難につながっておらず、発生したデータ侵害のすべてに通知を義務づける法律はコストの増大を招くだけで効果は限定的だと指摘している。

　GAOのリポートは、2000年1月から2005年6月までの間に発生した24件の大規模データ侵害のうち、個人情報の悪用などの不正行為につながったケースは4件にすぎないと報告しており、ほぼすべてのデータ侵害に対して報告を義務づける広範な内容のデータ侵害通知法が制定されれば、「ほとんどリスクがなく、消費者も無視すると思われる」ような通知が氾濫するようになると指摘する。

GAOが発表した個人情報侵害に関するリポート

　また、データ侵害通知法について一定のメリットがあると評価したうえで、ほぼすべての侵害に対して通知が義務づけられるようになった場合、企業の側に膨大なコスト負担が発生し、企業運営が困難になる可能性もあるとしている。

　米国議会は現在、複数のデータ侵害通知法案を審議しており、その中には、ほぼすべてのデータ侵害に対して通知を義務づけるものも含まれている。

　GAOのリポートは、議会でID盗難の潜在的なリスクに基づく通知規則を検討する必要があるとしたうえで、大統領直属の個人情報盗難問題作業部会が、政府機関や民間企業がデータ侵害について報告すべきかどうかを判断する全国基準を定めるよう政府に勧告していることを紹介している。

　GAOは、リスク・ベースの基準があれば、「過度の負担を避けることができ、リスクの小さい侵害について不必要かつ非生産的な通知を出さずに済む」と説明する。

　リポートでは、データ侵害法が制定された場合、企業では、緊急事態対応計画を策定したり、顧客に通知したりするコストなど、新たな負担が生じるとしている。データ侵害によって発生する各種のコストを明確化するのは難しいが、ポネモン・インスティチュートLLCが2006年に行った調査によると、顧客への通知、コールセンターの人員確保、裁判費用の支払いなどで、侵害事案1件当たり平均140万ドルの費用が発生するという。

　今回GAOは、2000年から2005年までの間にメディアで報じられた24件の大きなデータ侵害事案を調査し、そのうちの18件でIDの盗難や不正行為が特定されなかったことを明らかにしている。

　既存顧客のクレジット口座に関して不正行為が報告されたのは、カードシステムズ・ソリューションズ、DSW、CDユニバースで発生したデータ侵害事件だけであり、チョイスポイントの事案では、不正な新規口座が複数開設されていた。残り2件については、IDにかかわる不正行為の有無は確認できなかったという。

　GAOのリポートによると、データ侵害が原因で発生するIDの盗難を追跡するのは困難なうえに、侵害発生後1年またはそれ以上データが使用されないケースも少なくないという。

　GAOは、データ侵害通知法について、データ・セキュリティの改善を促すという点を評価しながらも、「通知するに値するデータ侵害について適切な基準を定義する必要がある。データ侵害がもたらすリスクは多様であり、個人情報の盗難に直結しないことがほとんどであることから、リスクに基づいて通知を出すのが適当だ」と結論づけている。

　セキュリティに関する調査と研修を行っているSANSインスティチュートの調査ディレクター、アラン・パラー氏は、GAOのリポートを高く評価するとともに、議会はデータ侵害ばかりに目を奪われていると指摘する。「（一部の議員は）攻撃の内容に応じた（効率的な）守備が有効だという重要な問題を見落としている」（同氏）

　また保守系シンクタンク、進歩と自由財団のシニア・フェロー兼社長代行トーマス・レナード氏も、データ侵害についての詳しい情報を議会に提供しているという点でGAOのリポートは重要だと評価する。

　「さまざまなデータが出てくるのは非常に喜ばしいことだ。（リポートは）コストよりも利益のほうが大きいと思われる分野を重視して新たな法律を制定すべきであるという私の見解を補強するものだ」（レナード氏）

(グラント・グロス／IDG News Service ワシントン支局)