コンプライアンスとフレームワーク
グラム・リーチ・ブライリー法 (GLBA)
別称: GLB 法, 金融サービス近代化法
定義
米国の連邦法であり、金融機関に対し顧客の非公開個人情報の安全性と機密性の保護を義務付ける。
グラム・リーチ・ブライリー法 (GLBA) は 1999 年に制定された米国連邦法で、連邦取引委員会 (FTC) および連邦銀行規制当局によって執行され、米国の金融機関が消費者の非公開個人情報 (NPI) を取り扱う方法を規制します。三つの柱は、金融プライバシー規則(情報共有慣行の開示)、セーフガード規則(書面による情報セキュリティプログラムの実施)、プリテキスティング禁止規定(ソーシャルエンジニアリングによる顧客データ取得の禁止)です。2023 年に改訂されたセーフガード規則では、多要素認証、暗号化、責任者の任命、ペネトレーションテスト、500 名以上に影響する事案を 30 日以内に当局へ通知する義務などが明文化されました。
例
- 地域銀行が顧客データを関連会社と共有する方法を年次プライバシー通知で公表する。
- 住宅ローン仲介業者が FTC セーフガード規則を満たすために MFA と暗号化を導入する。
関連用語
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
サーベンス・オクスリー法(SOX)
投資家保護を目的に、上場企業へガバナンス・内部統制・報告に関する要件を課す、2002 年の米国連邦法。
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。
HIPAA
個人を特定可能な医療情報の保護に関する国家基準を定めた米国の医療保険の相互運用性と説明責任に関する法律。
多要素認証 (MFA)
アクセスを許可する前に、通常は異なるカテゴリに属する 2 つ以上の独立した要素を要求する認証方式。
暗号化
アルゴリズムと鍵を用いて平文を暗号文に変換し、認可された当事者のみが元のデータを復元できるようにする処理。