カリフォルニア州データ保護法案、シュワルツネッガー知事が握りつぶす
シュワルツネッガー知事は、データ流出セキュリティ法案は中小企業にとってコスト増を招くものだと主張する。
カリフォルニア州のアーノルド・シュワルツネッガー知事は10月13日、米国で最も厳しい部類に入る電子小売取引に関するデータ流出セキュリティ法案に対して拒否権を発動し、同法案を実質的に廃案に追い込んだ。
「この法案は、特に中小企業にとってコンプライアンスコストの増加を招く」というのが同氏の主張だ。
このカリフォルニア州法案(AB 779)は、小売業者に対して、現行のPCI DSS(Payment Card Industry Data Security Standard)で定められた要件よりも厳格な方法でデータを保護することを義務付けたもの。
この法案には、支払いデータの保持・廃棄ポリシーを定めていない小売業者に対してセンシティブな消費者情報の保有を禁じる条項が含まれる。同法案によると、このポリシーは「支払いに関連するデータの量ならびにそのデータの保持期間を制限する」としている。
さらに同法案は、購入承認後に多くのデータを保存することも禁じている。同法案によると、小売業者は「データが暗号化されていても、購入の承認後にセンシティブな認証データを保存してはならない」としている。
シュワルツネッガー氏は法案を拒否した理由を説明するメッセージの中で、法案の修正版に署名する可能性も残している。「法案作成者と業界が協力し、よりバランスの取れた法律の制定を目指してもらいたい」と同氏は述べている。
「法案の現行版は、既に市場が消費者保護を実現する責任と義務を定めている分野に規制を設けようとするものだ。また、Payment Card Industryは既に、クレジットカード/デビットカード保有者の情報を保存、処理、送信する際の最低限のデータセキュリティ標準を確立している」とシュワルツネッガー氏は指摘する。
「業界(クレジットカード各社とPCI Councilを指しているものと思われる)は、クレジットカードのセキュリティに関して何が現実的かつ合理的であるかを判断できる立場にある」と同知事は主張する。また、このような法案に署名すれば、衝突を引き起こす恐れがあるという。
「この業界は、これらの標準の使用を義務付ける契約的能力を持っており、これらの標準を技術および市場の変化に対応させるのに適した立場にある。この法案は、カリフォルニア州の法律が民間部門のデータセキュリティ標準と衝突する可能性を生み出すものだ」と同氏は語る。
シュワルツネッガー氏は、法案の文言の曖昧性にも批判を加えている。「わたしはこの法案の条項の多くを支持するが、どの企業あるいはエージェンシーがデータを“所有”あるいは“ライセンス”するのか、そしてその企業またはエージェンシーが所有者あるいはライセンシーとしての責任を放棄した場合に関して法案は明確な定義を示していない」と同氏は指摘する。
しかし法案作成者の民主党議員は、共和党の知事が小売業界からの圧力に屈したことを示唆している。
この法案を作成したサクラメント出身のデイブ・ジョーンズ州下院議員は、「今日、大企業とハッカーとID泥棒が勝ち、消費者と常識が負けている。われわれの個人情報を白日の下にさらし、ID泥棒やハッカーが盗めるようにしておくべきだと知事が考えているのには、ショックを受けるとともに失望した。甘いセキュリティが情報漏えいにつながったとしたら、それを引き起こした人が責任を取るべきだ。『壊した商品は買ってください』と小売業者が言うのと同じだ。これには誰も異論はないはずだ。もちろん知事もそうだろう」と話している。
法案はカリフォルニア州上下両院をあっさりと通過している。定数40名の州上院では9月に30対6の賛成多数で可決され、下院ではその前に73対0の全会一致で通過しているため、理論的には法案支持者たちが拒否権の無効を求めることも可能だ(これには上下両院でそれぞれ3分の2の賛成が必要とされる)。しかし10月14日の時点では、その手続きを進める意向を公式に表明した議員はいない。
小規模な小売業者にとってのコンプライアンスのコストをめぐる懸念のために、厳しいデータセキュリティ規則の制定を断念した州もある。例えばコネティカット州では、そういった法律を当初推進していた議員が、小規模小売業者の請願を受けて断念した。
小売りデータに関する国家標準の制定に向けた連邦政府の取り組みも、暗礁に乗り上げている。データ保護法制定に向けた州政府および連邦政府の取り組みを促進する材料になると見られていたTJXのデータ漏えいに関する公聴会は何度も延期されており、現時点の暫定スケジュールでは11月に開催予定となっている。小売大手TJXは今年1月、約4600万人分の顧客のクレジットカードデータが不正に流出したと発表した。これは小売業界で過去最大のデータ流出事件とされている。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- サイバー犯罪のハードルが激減? 無償で使える生成AI「KawaiiGPT」が登場
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
- この先5年でインフラ運用担当者が知るべき技術は Gartnerが提言
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
ITmediaはアイティメディア株式会社の登録商標です。