メインコンテンツまでスキップ
画像
紫色の六角形のパターン

主要なCCPAおよびカリフォルニア州のデータ侵害通知法の規定に準拠します

カリフォルニア州消費者プライバシー法(CCPA)は、2020年の初めに発効し、2020年7月1日は6ヶ月のCCPAコンプライアンス猶予期間の満了となりました。 CCPAは、消費者の個人情報を保護するための暗号化の使用に対応しています。 議会法案1130はCCPAの一部ではありませんが、カリフォルニア州の侵害通知法を更新するために導入されたもので、データが暗号化されておらず、暗号化キーがデータとともに取得されていない場合を除き、データが侵害された人に通知する必要があります。

CCPAに違反していることが判明した場合、意図的な違反ごとに7,500ドルの罰金が科せられます。 意図的でない違反はそれほど面倒ではありませんが、それでもコストがかかり、それぞれ2,500ドルです。 ただし、民事訴訟は、非準拠の組織に非常に悪影響を与える可能性があります。 CCPAの違反の影響を受ける消費者ごとに、組織は消費者1人あたり最大750ドルの民事損害賠償に直面することになります。

規制

以下は、Entrust nShield HSMが準拠するのに役立つカリフォルニア州のCCPAおよびデータ侵害通知法の抜粋部分です。

消費者データ保護

セクション1798.150.(a)(1)CCPAの状態:

セクション1798.81.5のサブディビジョン(d)のパラグラフ(1)のサブパラグラフ(A)で定義されているように、暗号化および編集されていない個人情報が、その結果として不正アクセスおよび漏えい、盗難、または開示の対象となる消費者個人情報を保護するために情報の性質に適した合理的なセキュリティ手順および慣行を実装および維持する義務に対する企業の違反は、以下のいずれかに対して民事訴訟を起こす可能性があります。

(A)インシデントまたは実際の損害のいずれか大きい方につき、消費者1人あたり100ドル($100)以上750ドル($750)以下の損害を回復すること。

(B)差止命令または宣言的救済。

(C)裁判所が適切とみなすその他の救済。

CCPA自体はデータ暗号化に関する詳細を提供していませんが、カリフォルニア州のデータ侵害法の改正は提供しています。 2019年後半、CCPAの修正案に署名すると同時に、カリフォルニア州の立法者は、暗号化と暗号化キーの保護に特に言及する議会法案1130にも署名しました。 以下は法案からの抜粋です。

民法のセクション1789.82は、次のように修正されます。

1798.82.(a)カリフォルニア州でビジネスを行い、個人情報を含むコンピューター化されたデータを所有またはライセンス供与する個人または企業は、データのセキュリティ違反の発見または通知に続いて、システムのセキュリティ違反をカリフォルニアの居住者に開示するものとします。(1)暗号化されていない個人情報が許可されていない人によって取得された、または取得されたと合理的に信じられている、または(2)暗号化された個人情報が許可されていない人によって取得された、または取得されたと合理的に信じられている暗号化キーまたはセキュリティ資格情報は、許可されていない人物によって取得された、または取得されたと合理的に考えられており、暗号化された情報を所有またはライセンス供与している個人または企業は、暗号化キーまたはセキュリティ資格情報がその個人情報を、読み取り可能または使用可能になる可能性があるという合理的な確信があります。 開示は、サブディビジョン(c)に規定されている法執行機関の正当なニーズ、または違反の範囲を決定し、データシステムの合理的な完全性を回復するために必要な措置と一致して、可能な限り最も適切な時間に、不当な遅延なしに行われるものとします。

コンプライアンス順守

キー保護

上記の修正は、組織がカリフォルニア州住民のデータを暗号化して保護するだけでなく、関連する暗号化キーまたはセキュリティ資格情報を保護して準拠する必要があることを示しています。 暗号化は、財務データ、政府機関ID、社会保障番号などの機密情報を読み取ることができないようにすることで保護しますが、暗号化キーの保護に失敗した場合は、玄関のドアをロックして鍵をマットの下に置いたままにするようなものです。

暗号化キーセキュリティのためのEntrust nShield HSMソリューション

暗号化キーセキュリティのベストプラクティスは、それらのキーをハードウェア・セキュリティ・モジュール(HSM)に保存することです。 Entrust nShield® HSMは、データの暗号化と復号化、およびデジタル署名と証明書の作成に使用されるキーを生成、保護、管理することで暗号化プロセスを保護する、堅牢な耐タンパ性のハードウェアデバイスです。nShield HSMは、FIPS 140-2およびCommon Criteriaなどの最高のセキュリティ基準でテスト、検証、認定されています。nShield HSMにより、組織は次のことが可能になります。

  • CCPA、GDPReIDASPCI DSSHIPAAなどを含む、サイバーセキュリティに関する確立された新しい規制基準を満たし、それ以上のことを行います。
  • より高いデータの安全性と信頼性を実現
  • 高いサービスレベルとビジネスの機敏性を維持

nShield as a Serviceは、専用のFIPS 140-2レベル3認定済みのnShield Connect HSMを使用して、機密データとは別に暗号キーマテリアルを生成、アクセス、保護するための、サブスクリプションベースのソリューションです。 このソリューションは、オンプレミスのHSMと同じ機能と、クラウドサービス展開のメリットを組み合わせたものを提供します。これにより、顧客はクラウドファーストの目標を達成し、アプライアンスの保守をEntrsutの専門家に任せることができます。

関連製品