ニューヨークの SHIELD Act: ビジネスにとっての意味

公開: 2020-07-22

ニューヨークの Shield Act は、全国の企業が考慮に入れなければならない最新のデータ プライバシー法であり、特に州内に現在または潜在的な顧客を持つ企業にとって重要です。 それは組織にどのような影響を与え、将来の規制やコンプライアンス基準にどのように備えることができるでしょうか?

ニューヨークのSHIELD法とは?

ニューヨークのSHIELD法は 3 月 21 日に正式に発効し、より多くの消費者情報を保護し、データ侵害を構成するものを再定義することにより、既存の規制を拡張するように設計されています。

  • 適用範囲: SHIELD Act は、法律の管轄下にある人を拡大します。 以前は、法律を遵守しなければならない企業は、州内で取引を行う企業でした。 新しい法律は、ビジネスがそこにあるかどうかにかかわらず、ニューヨークに居住するすべての顧客を含むようにこれを拡大します.
  • 定義:セキュリティ違反の原因の定義は、法律の下で再定義されました。 以前は、ハッカーやサイバー犯罪者を対象とした、権限のない第三者が個人データや情報を取得する必要がありました。 今では、権限のない第三者が情報にアクセスした場合、情報が盗まれたかどうかにかかわらず、消費者に通知する必要があります。
  • データの種類:以前は、保護される情報の種類は、個人の社会保障番号、運転免許証番号、またはアカウントへのアクセスを許可するパスワードやアクセス コードと共に使用される可能性のあるその他のアカウント番号と組み合わせて使用​​されるデータでした。 これは、以下を含むように拡張されました。
    • クレジット カード番号など、アカウントへのアクセスに使用できる金融口座番号
    • アカウントのユーザー名、パスワード、メール、秘密の質問
    • 個人を識別するための生体情報

企業は今、これらの新しい規制に準拠する必要があります。

「私たちの法律が急速に変化するテクノロジーの世界に歩調を合わせることが重要です。 SHIELD 法は、セキュリティ基準を引き上げて、これ以上ニューヨーカーがデータ侵害やサイバー攻撃によって不必要に犠牲にならないようにします。」 – ケビン・トーマス上院議員、消費者保護委員会委員長

企業が気にかけるべき理由

罰金

もちろん、最も明白な考慮事項は、新しいコンプライアンス規制に違反した場合の経済的影響です。

この法律では、以前は 1 つの企業に対する罰金の上限が 15 万ドルでしたが、これが 25 万ドルに引き上げられました。

知っていて無謀な違反 (正しいコンプライアンス手順を確立していない組織) に対して、裁判所は 5,000 ドルを超える、または 1 件あたり最大 20 ドル、最大 250,000 ドルの罰金を求めることができます。

2019 年 8 月までに、司法長官室は、以前の法律に基づく正しいコンプライアンス基準を満たしていない企業から、すでに 6 億ドル以上の罰金を課していました。

6 億ドルは大金です。これは、この新しい法律が成立したことと合わせて、ニューヨークが消費者のデータ プライバシー保護にどれほど真剣に取り組んでいるかを示しています。

SHIELD 法により、企業が準拠しなければならないものと実施している慣行が大幅に拡大するため、その数字は今後数年間で劇的に増加する可能性があります。

「厳然たる現実は、セキュリティ侵害がより頻繁になっているということです。この法律により、ニューヨークは消費者の保護を強化し、機密データを誤って処理した場合にこれらの企業に責任を負わせるための措置を講じています。」 – クオモ知事

要するに、データ保護規制には、企業が誤った側面に陥る可能性のある側面がはるかに多いため、罰金を回避し、それが起こらないようにすることが最優先事項であるべきです。

ビジネスを維持する

カリフォルニア州の既存の CCPA や欧州連合の GDPR に沿った SHIELD のような新しい法律は、組織がデータを処理する方法に対する消費者の不満を政治家が認識していることを明確に示しています。

人々はこれまで以上にデータの権利とプライバシーを意識しており、84% の人がプライバシーを気にかけ、自分自身のデータを気にかけ、社会の他のメンバーのデータを気にかけ、より多くのデータを管理したいと言っています。彼らのデータがどのように使用されているか。

しかし、これはビジネスの成功にどのような影響を与えるのでしょうか?

率直に言って、データ保護を確実にすることは、顧客の最善の利益を心に留めておくことと同じくらい、組織の自己保存の努力です。

79% の人が、企業が収集したデータをどのように使用しているかについて、非常に、またはある程度懸念していると述べています。

情報保護基準が不十分なためにデータを誤って処理したり、データ侵害に見舞われたりする企業は、自分たちが保護されていないと感じると、消費者が自分のビジネスを他の誰かに引き継ぐだけになるため、何度も自分自身を撃ちます.

実際、ある調査の回答者の 48% が、データ ポリシーと共有方法に懸念があるため、既に会社またはプロバイダーを変更したと述べています。

消費者からのメッセージははっきりとはっきりしています。データを真剣に受け止めなければ、そうしている企業の習慣を受け入れてしまうでしょう。

もっと来る

簡単に述べたように、SHIELD 法は、CCPA や GDPR などの既存のデータ保護法と多くの類似点があります。

SHIELD は初めてではなく、最後でもないでしょう。

このような法律は、消費者がどれだけ保護されるかについての議論を形成しています。

上級ビジネスの人物や組織は、GDPR と CCPA に触発された連邦データ プライバシー法を求めており、超党派の連邦法案は現在まとまっていませんが、これらの規制はすべて 1 つの方向に向かっているようです.

これは、CCPA と SHIELD だけの影響を考えると特に当てはまります。現在、カリフォルニア州とニューヨーク州の 6,000 万人がこれによってカバーされています。

これは、企業が遵守しなければならない米国の全人口のほぼ 20% に相当します。

連邦法がなくても、いずれ他の州もそれに倣う可能性が高く、フロリダ州 (米国最大の人口密集地と市場の 1 つ) を含む州では、上院議場に法案が提出されています。

時代を先取りしている企業は、CCPA や SHIELD などの法律は始まりにすぎないことを認識し、今後必要となるデータ規制のコンプライアンスのための包括的な基準と慣行を組織に備えさせるでしょう。

企業は何を準備することができますか?

企業は、顧客のデータを保護するのに役立つビジネスのいくつかの重要な側面に投資することから始める必要があります。 つまり、次のとおりです。

データ保護対策

顧客データはどのように保存されますか?

SMB の間でクラウドの採用が大幅に増加している理由の 1 つは、比較的使いやすく、データ保護に関する基準が高いためです。

これまで、ビジネス オーナーは機密データをクラウドに保存することを躊躇していましたが、クラウド セキュリティの進歩により、現在では多くの企業がそうしています。

Microsoft の Azure のようなクラウド サービスは、最大のセキュリティと年間わずか 26 分のダウンタイムを提供する Tier IV データ センターを使用しています。

多くの企業はデータ用にハイブリッド システムを運用しており、一般的な業務情報をパブリック クラウド データ センターに保存しています。 より機密性の高い情報にはプライベート データ センターを使用し、より多くの制御とカスタマイズ オプションを提供します。

これにより、データの管理方法を特に意識している組織の柔軟性が高まります。

関連記事: Tier IV データセンターが必要な理由

調整とリスク評価を直接担当するスタッフ

一般的に言えば、コンプライアンス ポリシーを推進するスタッフ (またはベンダー) を持つことは良いことです。

データを効率的かつ標準的に処理することは、新しいアプリをインストールする場合だけではありません。 基本的には、従業員がデータをどのように使用および共有するか、およびそのために使用するソリューションにかかっています。

それらが新しい法律に違反している場合、または既存の慣行に違反している場合は、これらの懸念に対処し、正しい基準を実装できるノウハウと能力を備えた人が必要です。

この担当者は、ハードウェア関連かソフトウェア関連かにかかわらず、データ処理に関する潜在的なリスクを定期的に評価することに加えて、発生したデータ侵害を報告する責任も負う必要があります。

これは、企業がリモート ワーカー内およびリモート ワーカー間でデータを共有する際に直面している問題を考えると、さらに適切です。

一部の企業は、これを行うために社内に誰かを置くことを選択しますが、多くの企業は、費用対効果が高く、特定の分野に関連するデータ保護に関して企業が行う必要がある正確な専門知識を持っているため、MSSP を選択します。状況。

お持ち帰り

  • ニューヨークの SHIELD 法は、既存のデータ プライバシー法を大幅に拡張したものであり、企業は現在この法律に準拠する必要があります。
  • 消費者の要求とデータ保護法に対する公共の関心の高まりは、企業が顧客の満足を維持するためにデータ処理慣行を非常に真剣に受け止めなければならないことを意味します。
  • SHIELD は一連のデータ プライバシー法の最新のものであり、今後数年のうちに追加の法律が制定されると、組織がコンプライアンスに迅速に対応する必要性がさらに高まるでしょう。

あなたのビジネスは準拠していますか?

GDPR、CCPA、SHIELD などの新しい法律は、企業が考慮すべきデータ保護コンプライアンス基準の始まりにすぎません。 現代の組織の主な目的は、データ侵害を阻止することです。 しかし、どのように?

無料の電子ブック現代の SMB にとって優れたサイバーセキュリティ防御とは?」をご覧ください。 また、企業がデータを安全に保つためにどのような対策を講じるべきかを確認してください。