「Financial Services (GLBA)」レポート

このレポートには、サイトで見つかった GLBA に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。

問題点

金融サービス近代化法 (1999)、より一般的にはグラム・リーチ・ブライリー法 (GLBA) として知られていますが、これには金融機関が所有する利用者の個人的な金融情報を保護する条項が含まれています。この法令によって、銀行、保険および証券を分離していた大恐慌時代のバリアは撤廃され、米国金融サービス・プロバイダー (銀行、証券会社、および保険会社を含む) の相互提携および相互市場参入が可能になりました。この法律制定の目的は、インターネット接続およびホスティング調整などの Web で使用可能な環境を介して、ハッカーからアクセスされる可能性のある顧客の機密情報を、金融機関に保護させることです。この保護規則は 2003 年に施行され、顧客情報のセキュリティーを確実に保護するための積極的な手順が求められるようになりました。

この法律制定によって米国金融業界の展望は近代化しましたが、同時に個人にとっては以下を含む重大なプライバシーおよびセキュリティー要素が生まれました。

  • 年間ベースで、アプリケーションに関する包括的なプライバシー通知を掲示します。プライバシー通知には、機関が収集する顧客情報の内容、その情報の共有相手、およびその情報の保護または予防的保護手段について記述する必要があります。
  • 顧客情報の驚異となり得るリスクを特定して評価する詳細なセキュリティー・ポリシーを掲示します。このポリシーは、機関がセキュリティー・プログラムを実装する際に実施する特定のセキュリティー手段について、概要を述べている必要があります。
  • 提携していないサード・パーティー会社と個人情報を共有する場合は、オプトアウト権限を用意します。プライバシー通知に、利用者がオプトアウトする方法の説明を記述しておく必要があります。また、プライバシー通知で、例えば信用報告書またはアプリケーション情報などの特定の情報について、金融機関提携先との共有を許可しないようにする権利が利用者にあることを記述しておく必要があります。
  • 有効なセキュリティー保護を実装します。

GLBA 準拠のベスト・プラクティス

  • すべてのオンライン・アプリケーション・ポイントでプライバシー通知を掲示します。
  • オプトアウトの通知および仕組みを、特定のオンライン情報収集ポイントで使用可能にします。
  • 金融情報をオンラインで収集するためのセキュリティー保護を実装します。
  • 情報共有規則に違反して、個人の金融情報がサード・パーティーに渡らないようにします。
  • セキュリティーまたは顧客レコードの整合性に対する、想定される危険の脅威から保護します。
  • 重大障害または顧客の不利益となり得る、顧客記録や情報への無許可アクセスまたは使用を防ぎます。