カリフォルニア州データ保護法案、シュワルツネッガー知事が握りつぶす
シュワルツネッガー知事は、データ流出セキュリティ法案は中小企業にとってコスト増を招くものだと主張する。
カリフォルニア州のアーノルド・シュワルツネッガー知事は10月13日、米国で最も厳しい部類に入る電子小売取引に関するデータ流出セキュリティ法案に対して拒否権を発動し、同法案を実質的に廃案に追い込んだ。
「この法案は、特に中小企業にとってコンプライアンスコストの増加を招く」というのが同氏の主張だ。
このカリフォルニア州法案(AB 779)は、小売業者に対して、現行のPCI DSS(Payment Card Industry Data Security Standard)で定められた要件よりも厳格な方法でデータを保護することを義務付けたもの。
この法案には、支払いデータの保持・廃棄ポリシーを定めていない小売業者に対してセンシティブな消費者情報の保有を禁じる条項が含まれる。同法案によると、このポリシーは「支払いに関連するデータの量ならびにそのデータの保持期間を制限する」としている。
さらに同法案は、購入承認後に多くのデータを保存することも禁じている。同法案によると、小売業者は「データが暗号化されていても、購入の承認後にセンシティブな認証データを保存してはならない」としている。
シュワルツネッガー氏は法案を拒否した理由を説明するメッセージの中で、法案の修正版に署名する可能性も残している。「法案作成者と業界が協力し、よりバランスの取れた法律の制定を目指してもらいたい」と同氏は述べている。
「法案の現行版は、既に市場が消費者保護を実現する責任と義務を定めている分野に規制を設けようとするものだ。また、Payment Card Industryは既に、クレジットカード/デビットカード保有者の情報を保存、処理、送信する際の最低限のデータセキュリティ標準を確立している」とシュワルツネッガー氏は指摘する。
「業界(クレジットカード各社とPCI Councilを指しているものと思われる)は、クレジットカードのセキュリティに関して何が現実的かつ合理的であるかを判断できる立場にある」と同知事は主張する。また、このような法案に署名すれば、衝突を引き起こす恐れがあるという。
「この業界は、これらの標準の使用を義務付ける契約的能力を持っており、これらの標準を技術および市場の変化に対応させるのに適した立場にある。この法案は、カリフォルニア州の法律が民間部門のデータセキュリティ標準と衝突する可能性を生み出すものだ」と同氏は語る。
シュワルツネッガー氏は、法案の文言の曖昧性にも批判を加えている。「わたしはこの法案の条項の多くを支持するが、どの企業あるいはエージェンシーがデータを“所有”あるいは“ライセンス”するのか、そしてその企業またはエージェンシーが所有者あるいはライセンシーとしての責任を放棄した場合に関して法案は明確な定義を示していない」と同氏は指摘する。
しかし法案作成者の民主党議員は、共和党の知事が小売業界からの圧力に屈したことを示唆している。
この法案を作成したサクラメント出身のデイブ・ジョーンズ州下院議員は、「今日、大企業とハッカーとID泥棒が勝ち、消費者と常識が負けている。われわれの個人情報を白日の下にさらし、ID泥棒やハッカーが盗めるようにしておくべきだと知事が考えているのには、ショックを受けるとともに失望した。甘いセキュリティが情報漏えいにつながったとしたら、それを引き起こした人が責任を取るべきだ。『壊した商品は買ってください』と小売業者が言うのと同じだ。これには誰も異論はないはずだ。もちろん知事もそうだろう」と話している。
法案はカリフォルニア州上下両院をあっさりと通過している。定数40名の州上院では9月に30対6の賛成多数で可決され、下院ではその前に73対0の全会一致で通過しているため、理論的には法案支持者たちが拒否権の無効を求めることも可能だ(これには上下両院でそれぞれ3分の2の賛成が必要とされる)。しかし10月14日の時点では、その手続きを進める意向を公式に表明した議員はいない。
小規模な小売業者にとってのコンプライアンスのコストをめぐる懸念のために、厳しいデータセキュリティ規則の制定を断念した州もある。例えばコネティカット州では、そういった法律を当初推進していた議員が、小規模小売業者の請願を受けて断念した。
小売りデータに関する国家標準の制定に向けた連邦政府の取り組みも、暗礁に乗り上げている。データ保護法制定に向けた州政府および連邦政府の取り組みを促進する材料になると見られていたTJXのデータ漏えいに関する公聴会は何度も延期されており、現時点の暫定スケジュールでは11月に開催予定となっている。小売大手TJXは今年1月、約4600万人分の顧客のクレジットカードデータが不正に流出したと発表した。これは小売業界で過去最大のデータ流出事件とされている。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。