GLBA コンプライアンス チェックリスト: ビジネスをクリーンに保つための手順

まず、GLBA の目的を理解する必要があります。この法律の主な目的は、金融機関が保有する消費者の個人金融情報を保護することです。その主な目的は次のとおりです。

1. 消費者データを保護する: 企業はデータを信頼しているだけではなく、データを安全に保管することが法的に義務付けられています。つまり、銀行口座の詳細、社会保障番号、個人情報は安全に保護され、機密でなければなりません。言い訳はできません。
2. 透明性の確保: 金融機関は、データをどのように収集、使用、共有するかについて率直に語る必要があります。明確なプライバシー通知 (細字の騙しなし) と、自分の情報を共有することに抵抗がある場合にオプトアウトする権限が与えられます。
3. データ共有を制限する: あなたの個人情報は非公開のままにしてください。この法律は、あなたがゴーサインを出さない限り、企業があなたの詳細を第三者に渡すことを制限しています。自動オプトインや怪しい裏取引はありません。

GLBA コンプライアンスは、関連する企業が従うべき 3 つの基本原則に基づいている必要があります。財務プライバシー規則、セーフガード規則、そして口実規定。確かに、それらについて詳しく話し合う必要があります。

財務プライバシー規則

財務プライバシー規則には、金融機関で採用すべき重要な慣行が多数含まれています。

• 明確なプライバシー通知。データが収集されること、その目的、および使用される方法について、ユーザーに明確に通知する必要があります。また、財務プライバシー規則に従って、データの共有と使用に関する顧客の権利を明確に記述する必要があります。顧客データを収集したらすぐにこの通知を提供する必要があり、顧客がまだサービスを使用している場合に備えて、メッセージは 1 年以内に繰り返す必要があります。
• 適切なコミュニケーションをオプトアウトします。データが共有される直前に顧客にオプトアウトを残すことも重要です。サービスは、顧客がデータをサイトと共有する準備ができているかどうか適切な決定を下せるように、適切かつタイムリーな通知を顧客に通知する必要があります。
• 顧客データ収集の目的。顧客データを収集する目的を説明し、目的説明書に記載されている以外の方法で顧客データを使用しないという約束を守る必要があります。たとえば、分析のためにユーザー データを収集した場合、それを広告代理店に販売することはできません。
• アカウント情報の共有を回避します。以前にも述べたように、顧客情報を広告主、電話勧誘販売代理店などの第三者に販売/共有することは禁止されています。

  これらは、GLBA プライバシー ルールの最も重要な側面であり、この規制を厳密に遵守するために注意する必要があります。ただし、これはほんの始まりにすぎません。他の原則についても検討していきますので、しばらくお待ちください。

セーフガードルール

セーフガード ルールでは、顧客がサービスを安全に使用できるようにするために、多数のセキュリティ ポリシーを採用することが義務付けられます。セーフガード ルールには、ビジネス データのセキュリティと顧客エクスペリエンスの向上も含まれます。そのため、To-Do アクションのリストは非常に長くても、次のプラクティスに従うことが会社にとって有益です。

• 総合的な情報セキュリティプログラム。顧客情報の機密性と完全性を保護するために、包括的なセキュリティ プログラムを作成、実装、維持する必要があります。
• 資格のある個別の予定。セーフガード ルールでは、組織のセキュリティ プログラムを管理するために社内で別の役割を任命する必要があります。この人が関連する資格を持っており、深刻な問題を抱えずに職場での職務を遂行できることを確認する必要があります。
• リスクの特定と評価。効果的なデータ セキュリティには、リスクを定期的に検査し、その種類と軽減方法を特定することが義務付けられています。
• 脅威を制御して保護します。金融機関は、顧客データを保護できるように、セーフガード規則措置を定期的に使用し、確認する必要があります。さらに、顧客情報を保存、収集、送信するアプリケーションを保護するために、適切な措置を実装する必要があります。
• セーフガード対策のテストとモニタリング。安全対策が採用された後は、定期的なテストと必要に応じた更新が必要になります。
• スタッフの研修。セキュリティ意識向上トレーニングを提供し、スタッフ向けに定期的な更新セッションを実施する必要があります。組織のセキュリティの強さは、最も警戒心のない従業員の強さだけであることを忘れないでください。
• サードパーティのサービスプロバイダーの管理。プロセスをサードパーティのサービス プロバイダーにアウトソーシングする場合は、ベンダーのセキュリティ慣行を確認し、独自のデータ セキュリティ計画と一致する保護措置を採用するよう要求することが重要です。
• インシデント対応計画。セーフガードルールは、金融機関に対し、インシデント対応計画を策定し、予測可能なあらゆるケースに対応するシナリオを作成することを義務付けており、十分に準備されたガイドに従ってチームがインシデントに対応できるようにします。それでも、すべてのインシデントを分析し、対応計画を改善するために学んだ重要な教訓を記録する必要があります。
• 取締役会の報告。データ セキュリティを担当する従業員は、定期的または少なくとも年に一度、取締役会または統治団体に書面による報告書を提出する必要があります。この報告書には、GLBA の情報セキュリティ要件への適合、その法的遵守、リスク評価、リスク管理、およびセーフガード規則の遵守方法に対する推奨される変更に関する詳細を含める必要があります。 

ああ、セーフガードルールについては以上です。確かに、これらすべてを社内に実装するのは大規模なプロジェクトですが、顧客もあなたも、このような重要な仕事が完了したことに感謝するでしょう。

口実規定

ソーシャル エンジニアリング攻撃は近年大幅に増加しており、世界的に数十億ドルの被害をもたらしています。プリテキスティング規定は、欺瞞的な行為による顧客情報への不正アクセスや使用を防止することを目的としています。この規定に基づく GLBA 要件に準拠するには、次の推奨事項を検討してください。

• 効果的なデータ アクセス制御。フィッシングや詐欺などのソーシャル エンジニアリング攻撃を回避するには、アクセス許可権限、ロールベースのアクセス、ユーザー アクティビティの監視を規定するデータ アクセス ポリシーを作成して採用する必要があります。
• 従業員向けの啓発セッション。人的要因はサイバーセキュリティにとって最も持続的な脅威の 1 つであるため、スタッフ向けの定期的な意識向上セッションを計画することが、侵害のリスクを軽減し、機密データを保護するスキルを向上させる鍵となります。
• 厳格な認証メカニズム。多要素認証、ロールベースのアクセス制御、厳密なパスワード ポリシーなどの厳密なアクセス制御を設定することが、不正アクセス試行やソーシャル エンジニアリング攻撃からの保護の根幹となります。 

これらは GLBA 準拠の 3 つの中心原則です。しかし、誰が彼らに従うべきでしょうか？

GLBA 準拠を必要とするビジネスは何ですか?

あなたの会社が GLBA 準拠する必要があるかどうか疑問がある場合は、以下の画像をチェックして、どのような企業がポリシーに準拠する必要があるかを確認してください。

しかし、GLBA に準拠しない場合はどうなるのでしょうか? Venmo の事例を見てみましょう。

2018 年、人気のピアツーピア決済サービスである Venmo がプライバシー スキャンダルの渦中にありました。この金融機関は GLBA に違反したとして告発されました。主な問題は Venmo のデフォルトのプライバシー設定でした。

デフォルトでは、ユーザーのトランザクションは公開されており、機密の財務詳細を含むトランザクションを誰でも閲覧できます。この透明性の欠如により、ユーザーの個人情報が意図したよりも幅広いユーザーに公開されてしまいました。 Venmo は単に失敗をしただけではなく、明確かつ正直なプライバシーに関する通知を提供しなかったため、ユーザーが自分のデータがどのように収集および使用されているかを分からないままにしたとして非難されました。こうしたプライバシー上の失敗は、Venmo とその親会社である PayPal の両方に重大な影響をもたらしました。米連邦取引委員会（FTC）が介入し、Venmoにその行為を一掃するよう強制し、データセキュリティの強化、プライバシー設定の改善、ユーザー情報の取り扱い方法の完全な透明性を要求した。

法律を遵守するだけでなく、顧客、自社のデータ セキュリティ、名誉を守るためにも、規制に従う方がはるかに安全であることは疑いの余地がありません。そのため、GLBA 準拠の重要な側面を 1 つも見逃さないようにするための詳細なチェックリストを用意しました。

GLBAに準拠するための主な手順

1. 上で説明した 3 つの基本原則です。これは、法律や顧客に対して負わなければならない責任を十分に認識することを目的とした基本的な要件です。
2. リスク評価のギャップを確認してください。リスク評価の実践を見直し、関連性のある決定を採用するためにどのような盲点があるかを特定してください。
3. カスタムの情報セキュリティ プログラムを用意します。リスク評価の結論を、セキュリティ侵害やその他の関連する緊急事態の場合に従う実行可能な計画に変換します。
4. 強力な暗号化方式を使用する。堅牢な暗号化方式を使用してトラフィックを暗号化してください。 VeePN を試してみることをお勧めします。これは、これまでで最も安全な標準と考えられている AES 256 ビット暗号化を使用するプレミアム仮想プライベート ネットワーク (VPN) サービスです。 VeePN は、信頼性の高い暗号化に加えて、Double VPN、NetGuard、代替 ID などのセキュリティ機能を提供し、このアプリをビジネス データを保護するための理想的なソリューションにしています。
5. セキュリティ対策を定期的に更新してテストします。情報セキュリティ プログラムを随時見直して更新し、GLBA 準拠を妨げるギャップに対処してください。
6. 最初の防御線に集中してください。従業員の対応力は、配慮すべき主な防御メカニズムです。そのため、従業員のトレーニングと教育は、情報セキュリティ プログラムの優先事項の 1 つである必要があります。
7. セキュリティ問題を検出して対応するための明確なプロセスを作成します。データ保護アクティビティの成功は、チームがデータ保護アクティビティをどれだけ適切かつ迅速に処理できるかに大きく左右される限り、セキュリティ脅威を検出して対応するための狭い範囲に特化したシナリオを作成してリハーサルします。
8. 定期的なコンプライアンス監査を手配します。GLBA コンプライアンス規制から逸脱していないかどうかを確認するために、基本的なコンプライアンス活動を見直し、逸脱している場合には、それぞれのプロセスを調整してください。
9. ドキュメントを適切に管理してください。実行されたすべてのコンプライアンス手順をタイムリーに文書化することは、情報セキュリティ プログラムと GLBA コンプライアンスの成功の基礎となります。
10. セキュリティ管理の変化の最前線に立つ。新しいタイプのハッカー攻撃に備え、新しいハッキング手法による予期せぬ攻撃のリスクを最小限に抑えるために、業界とサイバーセキュリティの最新の変化について最善の情報を入手してください。

このチェックリストを自由に印刷して、すぐに使えるように机の前に貼ってください。

VeePN でデータ保護プロセスを強化します

データ セキュリティは、GLBA への正式な準拠のためだけでなく、何よりもまず顧客情報のより大きな利益のために重要であるという事実を無視することはできません。 GLBA 準拠のためのこのチェックリストを使用すると、ユーザーとオンライン ビジネスのデータ セキュリティにとって重要なことを見逃さないようにすることができます。

推奨読書:GDPR データのバックアップ: コンプライアンスを確保するために知っておくべきこと

オンラインの脅威に対する強固な防御が必要な場合は、VeePN がサポートします。最上位の暗号化によりデータを保護し、フィッシング詐欺、マルウェア、トラッカーが近づく前にブロックします。