セキュリティ侵害の情報開示を義務付ける法案、米下院委員会で可決

米下院エネルギーおよび商業対策委員会は3月29日、セキュリティ侵害の発生について、データ販売業者に情報開示を義務付ける法案『Data Accountability and Trust Act』(下院法案4127号、通称 DATA 法案) を、賛成41反対0で可決した。

同法案は、データ侵害に伴う個人情報盗用について「妥当な危険性」がある場合、ChoicePoint のようなデータ販売業者に対し、その旨を公知するよう義務付けるものだ。

また、収集したデータについても、効果的なセキュリティ保護対策をデータ販売業者に課す。

現在米国には、データ販売業者にセキュリティ侵害の発生について、情報開示を義務付けた連邦法は存在しない。ただ州レベルでは、カリフォルニア州が、過去2年間に発生した顕著なセキュリティ侵害について、情報開示を求める州法を施行している。

DATA 法案は下院エネルギーおよび商業対策委員会を通過し、下院本会議の審議にかかることになった。日程は未定だ。

同法案は、データ販売業者について、顧客でない個人の情報を、提携関係のないサードパーティに販売する企業と規定している。

また『公正信用報告法』(FCRA) や『Gramm-Leach Bliley Act』(金融機関の顧客情報守秘に関する法律)、そして『Health Insurance Portability and Accountability Act』(医療保険の相互運用性確保及び説明責任に関する法律) に従う企業は、DATA 法を遵守していると見なされる。

John Dingell 下院議員 (民主党、ミシガン州) は声明で、次のように述べた。「DATA 法案は、『データを保護できないのならば、収集してはならない』ということを明確に伝えるものだ」

下院エネルギーおよび商業対策委員会の Joe Barton 委員長 (共和党下院議員、テキサス州) は、「データ侵害が発生した場合、例外なく当事者に伝えなければならない」と付け加えた。

Barton 氏は、公正信用報告法や連邦対策の下で収集された金融データについて、何年にも渡りセキュリティ保護を受けていると強調した。

「しかし犯罪者は、多くの企業が保有する、それ (上記の金融データ) 以外の機密個人情報に害を及ぼす可能性がある。そうした情報を保護する連邦法を策定すべき時期が来た」と Barton 氏は語った。