業界別に見る:海外のセキュリティ/プライバシー関連法 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > コンサルティング > 業界別に見る:海外のセキュリティ/プライバシー関連法

業界別に見る:海外のセキュリティ/プライバシー関連法

業界別に見る:海外のセキュリティ/プライバシー関連法

セキュリティやプライバシー保護に関連する法律として、日本にはサイバーセキュリティ基本法や不正アクセス禁止法、個人情報保護法(※)などが存在しますが、海外にはどのような法律や規則があるのでしょうか?本記事では、主要な6つの業界について、各業界に関連する米国とEUの法律をまとめています。さらに、PCI DSSやISO/IEC 27001など、世界共通の国際規格についても紹介します。

 

個人情報保護法には、3年ごとに見直しを行うという規定があります。これに基づき、2022年4月1日より、改正個人情報保護法が全面施行されます(法定刑の引上げと、個人データを第三者に提供しようとする際の経過措置については既に施行済み)。詳しくは、個人情報保護委員会のページ「令和2年 改正個人情報保護法について」をご参照ください。

 

日本企業であっても、海外に支社や支店を置いて事業を行う場合には、その国の法律に従わなければなりません。また、支社や支店を置かずに外国とビジネスを行う際にも、その国の法律の対象となる場合があります。例えば、EUにはGDPRという個人データ保護に関する法律があります。EU域内で事業を行う企業は当然適用対象となりますが、EU域内に拠点を有していない企業であっても、EU域内にいる個人に対して商品やサービスを提供している場合や、EU域内にいる個人の情報を扱う場合には適用対象となります。海外での事業展開や外国居住者への商品提供を行っている組織や、これから行う予定の組織の方々にとって本記事が少しでも参考になれば幸いです。

 

目次

一覧表:各業界ごとのセキュリティ/プライバシー関連法や規格

医療業界

金融サービス業界

製造業界

小売、Eコマース業界

自動車業界

教育業界

情報源

 

各業界ごとのセキュリティ/プライバシー関連法や規格

 

業界法律/規格
医療🇺🇸 HIPPA(プライバシールールとセキュリティルール)
🇺🇸 HITECH
🇪🇺 GDPR(General Data Protection Regulation)
金融🌍 PCI DSS(Payment Card Industry データセキュリティ基準)
🇪🇺 EU改正・決済サービス指令(EU 2015/2366 PSD2)
🇺🇸 ニューヨーク州金融サービス局サイバーセキュリティ規制(23 NYCRR 500)
🇺🇸 カリフォルニア州消費者プライバシー法(CCPA)
🇪🇺 GDPR(General Data Protection Regulation)
🇺🇸 サーベンス・オクスリー法(SOX法)
🇺🇸 グラム・リーチ・ブライリー法
製造🌍ISO/IEC 27001
🇺🇸 国防省調達規則(DFARS)
🇺🇸 サーベンス・オクスリー法(SOX法)
🇪🇺 GDPR(General Data Protection Regulation)
🇺🇸 カリフォルニア州消費者プライバシー法(CCPA)
小売、Eコマース🌍 PCI DSS(Payment Card Industry データセキュリティ基準)
🌍 PCI ペイメントアプリケーション データセキュリティ基準 (PA-DSS)
🌍 PCI セキュアソフトウェア基準
🇪🇺 EU改正・決済サービス指令(EU 2015/2366 PSD2)
🇺🇸 児童オンラインプライバシー保護法(COPPA)
🇪🇺 GDPR(General Data Protection Regulation)
🇺🇸 カリフォルニア州消費者プライバシー法(CCPA)
🌍 ISO/IEC 27001
自動車🌍 サイバーセキュリティ及びソフトウェアアップデートの国際基準(UN-R155、UN-R156)
🌍 ISO/SAE 21434:2021 路上走行車-サイバーセキュリティ工学
🌍 ISO/IEC 27001
🌍 PCI DSS(Payment Card Industry データセキュリティ基準)
教育🇺🇸 Family Educational Rights and Privacy Act (FERPA)
🇺🇸 Protection of Pupil Rights Amendment (PPRA)
🇪🇺 GDPR(General Data Protection Regulation)
🇺🇸 HIPPA(プライバシールールとセキュリティルール)
🇺🇸 HITECH
🌍 PCI DSS(Payment Card Industry データセキュリティ基準)

○医療業界

・ HIPPA(プライバシールールとセキュリティルール)

・ HITECH

・ GDPR(General Data Protection Regulation)

 

病院などの医療機関では、患者に関する多様なデータが収集されます。また、近年、国内外の医療機関を標的としたランサムウェア攻撃の被害が増加しています。そのため、この業界では広範なセキュリティ関連規則を遵守する必要がありますが、中でも米国においてメインとなるのはHIPAAです。さらに、個人データの扱いについて定めたEUのGDPRも、この業界に関連しています。

 

HIPPA(The Health Insurance Portability and Accountability Act of 1996)、米国

HIPAAとは、慎重に扱うべき保健情報が、患者の同意や認識なしに開示されないように保護するための国家基準の策定を義務付けた、米国の連邦法です。HIPAAで定められた要求事項の実施にあたり、HIPPAプライバシールールとHIPAAセキュリティルールが発行されています。

 

HIPPAプライバシールールは、保護対象保健情報(Protected Health Information /PHI)のセキュリティについて規定したものです。一方でHIPAAセキュリティルールは、対象となる組織が作成、受領、使用、または保持する、電子化された保健情報を保護するための国家基準を定めています。

 

保護対象保健情報(PHI):データ保持者又はその事業提携者に作成、受領、保管、送付される全ての個人を特定できる保健情報を指します。名前や住所といった個人情報はもちろんのこと、検査結果などの医療記録やDNAなどもPHIに含まれます。

 

HIPAAは、保険業者や医療提供者だけでなく、その事業提携者も適用対象としています。つまり、例えば医療機関が患者の情報をクラウド上に保存する場合、そのクラウドサービスの提供者にもHIPAAのルールが適用されるということです。

 

HITECH Act Enforcement Interim Final Rule、米国

HITECH(The Health Information Technology for Economic and Clinical Health Act)は、医療情報技術(特に電子カルテ)の導入とその有意義な活用を促進するために、2009年に制定された法律です。 HITECH法には4つの下位区分(Subtite A〜D)がありますが、医療情報の電子送信に関連するプライバシーとセキュリティについて定めているのはその中のSubtitle Dです。

 

HIPAAとは別の法律ですが、両者は共存しています。例えばHITECHでは、HIPPAプライバシールール /セキュリティルールに違反した場合の罰金が設定されています。

 

GDPR(General Data Protection Regulation)、EU

GDPRは、日本でいうところの個人情報保護法に相当するEUの法律です。組織や企業が個人データを保全性に配慮した形で利用しなければならないことについて、義務化されたルールを定めています。GDPRにおける「個人データ」とは、直接的にであれ間接的にであれ、生存する個人を特定できるあらゆる情報を意味します。名前や電話番号、住所はもちろんのこと、趣味、過去の購買に関する情報、保健情報、ネット上での行動なども個人データに含まれます。

 

個人データの処理を行う組織は、使用する個人データがGDPRの要件を満たしているようにしなければなりません。

 

※データの処理とは、データの収集、構造化、組織化、使用、保管、共有、開示、消去、破棄を意味します。

 

EU域内で事業を行う日本企業は、EU域内の個人の個人データを取得する場合、GDPRの適用対象となります。また、EU域内に拠点を有していない企業でも、以下のいずれかの条件に該当する場合は適用対象となります:

 

・EU域内にいる個人に対して商品やサービスを提供している場合

・EU域内の個人の行動を監視する場合(例:アプリやウェブサイトにおける個人の行動履歴や購買履歴の追跡等)

(参考:https://www.meti.go.jp/policy/mono_info_service/connected_industries/pdf/gdpr01.pdf

 

○金融サービス業界

・ PCI DSS(Payment Card Industry データセキュリティ基準)

・ EU改正・決済サービス指令(EU 2015/2366 PSD2)

・ ニューヨーク州金融サービス局サイバーセキュリティ規制(23 NYCRR 500)

・ カリフォルニア州消費者プライバシー法(CCPA)

・ GDPR(General Data Protection Regulation)

・ サーベンス・オクスリー法(SOX法)

・ グラム・リーチ・ブライリー法

 

この業界では、決済カード情報などの金融データの保護が重視されます。そのため、決済カード(クレジットカード)に関する国際規格のPCI DSSは、金融サービス業界において特に重要です。EUでは、電子決済に関するルールを定めた指令が発行されています。さらに、金融サービス利用者の個人情報保護という観点から、GDPRやカリフォルニア州消費者プライバシー法もこの業界に関連すると言えるでしょう。

 

※米国の金融機関を対象とするサーベンス・オクスリー法とグラム・リーチ・ブライリー法は、サイバーセキュリティやプライバシー保護を直接の目的とする法律ではありません。しかし、記録やデータの保護という点では本記事のテーマに関連しているため、リストに含めています。

 

PCI DSS(Payment Card Industry データセキュリティ基準)、国際規格

PCI DSSは、クレジットカード業界のセキュリティ基準です。加盟店(カードが使用できる店)やサービスプロバイダー(カードビジネスを提供する会社)において、クレジットカード会員データが安全に取り扱われる事を目的として策定されました。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)という組織によって運用、管理されています。

 

関連記事:「クレジットカードの情報漏洩が与える影響と対策」

 

EU改正・決済サービス指令(EU 2015/2366 PSD2)、EU

EU改正・決済サービス指令(PSD2)は、EU域内の決済サービスに関するルールを定めたEUの指令です。2007年に制定されたEU決済サービス指令(PSD)を、インターネット決済やモバイル決済などの新たな決済方法を踏まえて改正したものであり、2018年1月に施行されました。電子決済における厳格なセキュリティ要件や、消費者の金融データの保護、認証の安全性の確保、不正が行われるリスクの低減といった事項に関する規則が定められています。

 

ニューヨーク州金融サービス局サイバーセキュリティ規制(23 NYCRR 500)、米国

ニューヨーク州金融サービス局サイバーセキュリティ規制は、金融機関(銀行、住宅ローン会社、保険会社など)を対象とした規制です。詳細なサイバーセキュリティ計画を導入すること、包括的なサイバーセキュリティポリシーを策定すること、サイバーセキュリティ事案に関する継続的な報告システムの運用を開始・維持することを、金融機関に対して要求しています。

 

規制の適用対象は、ニューヨーク州において営業を認可された事業者です。そのため、米国以外の金融機関の、ニューヨーク以外の州で営業する支店には適用されません。ただし、同州内で営業を認可された支店の情報システムは、この規制の対象となります。

 

カリフォルニア州消費者プライバシー法(CCPA)、米国

カリフォルニア消費者プライバシー法(CCPA)は、カリフォルニア州民の個人情報を保護するための法律です。州民に対し、以下のような権利を認めています:

 

・事業者が集めた個人情報の開示を求める権利(知る権利)

・事業者が消費者から集めた個人情報の削除を求める権利(削除権)

・事業者が第三者へ個人情報を売却するのをやめるよう求める権利(オプトアウト権)、など。

 

CCPAの対象となるのは、同州内で事業を行っており、以下のいずれか1つ、またはそれ以上が当てはまる事業者です。したがって、日本企業も対象となり得ます:

 

・年間総収入が2,500万ドルを超える。

・単独または組み合わせて年間5万件以上の消費者、世帯またはデバイスの個人情報を商業目的で購入、受け取り、販売、または共有している。

・個人情報の販売により年間収入の50%以上を得ている。

 

サーベンス・オクスリー法(SOX法)、米国

サーベンス・オクスリー法(SOX法)は、一般企業による不正な金融取引から国民を守るために2002年に導入された法律です。SOX法では主に、どのような記録をどのくらいの期間保存すべきかが定められています。そして、保存された記録を保護するために実施しなければならないセキュリティ対策についても規定されています。

 

グラム・リーチ・ブライリー法、米国

グラム・リーチ・ブライリー法は、金融機関(消費者に融資、金融・投資アドバイス、保険などの金融商品・サービスを提供する企業)に対し、情報共有の方法を顧客に説明することや、慎重に扱うべきデータを保護することを義務付けています。

 

○製造業界

・ ISO/IEC 27001

・ 国防省調達規則(DFARS)

・ サーベンス・オクスリー法(SOX法)

・ GDPR(General Data Protection Regulation)

・ カリフォルニア州消費者プライバシー法(CCPA)

 

ISO/IEC 27001はあらゆる業界に適用される国際規格ですが、これが製造業界において最も普及しているセキュリティ関連基準と言えるでしょう。また、扱う製品の種類や取引先によっては、国防省調達規則(DFARS)のような、その分野特有の規則を遵守する必要があります。さらに、個人情報を扱う場合は、GDPRやカリフォルニア州消費者プライバシー法も関連してきます。

 

ISO/IEC 27001、国際規格

ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。ISO27001の要求事項に則ったマネジメントシステムを運用し、 認証機関の審査を受けることで、ISMSを取得することができます。ISO/IEC 27001は、ITセキュリティの管理方法、アクセスコントロール、オペレーションセキュリティ、さらには人的セキュリティなど、企業のITシステム全体のリスクを踏まえた内容となっています。

 

※日本国内における規格はJIS Q 27001:2014で、これは、ISO/IEC 27001を忠実に日本語に翻訳したものです。

 

関連記事:「ISMS構築対応について」

 

国防省調達規則(DFARS)、米国

米国連邦政府と取引を行う請負業者や下請け業者を対象とした規制です。「Controlled Unclassified Information(CUI)」と呼ばれる、秘密指定情報(Classified Information)以外の重要情報を保護するための要件が詳述されています。対象となる事業者は、DFARSに規定された最低限のセキュリティ基準を満たさない場合、国防省との契約を失う可能性があります。

 

○小売、Eコマース業界

・ PCI DSS(Payment Card Industry データセキュリティ基準)

・ PCI ペイメントアプリケーション データセキュリティ基準 (PA-DSS)

・ PCI セキュアソフトウェア基準

・ EU改正・決済サービス指令(EU 2015/2366 PSD2)

・ 児童オンラインプライバシー保護法(COPPA)

・ GDPR(General Data Protection Regulation)

・ カリフォルニア州消費者プライバシー法(CCPA)

・ ISO/IEC 27001

 

商品販売のために消費者のクレジットカードや金融データを扱うこの業界では、PCI DSS、PA-DSSPCI セキュアソフトウェア基準、EU改正・決済サービス指令など、決済に関連する基準が重要です。また、子供を対象にWebサイトで商品やサービスを販売する場合には、児童オンラインプライバシー保護法を遵守しなければなりません。

 

PCI ペイメントアプリケーション データセキュリティ基準(PA-DSS)、国際基準

PA-DSSは、ペイメントアプリケーション(決済アプリケーション)を提供するソフトウェアベンダーのセキュリティ要件を定めた国際基準です。PA-DSSでは、カードの磁気ストライプのデータやCVV2(セキュリティコード)、暗証番号といった情報を保存しないよう求めています。その他、保存される会員データの保護、安全な認証機能の提供、ワイヤレス送信の保護などの要件が設定されています。2022年10月28日にPA-DSSプログラムは終了し、PCI セキュアソフトウェア基準に置き換えられる予定です。

 

PCI セキュアソフトウェア基準

PA-DSSの後継となる基準です。適用対象となるソフトウェアがPA-DSSよりも幅広く、最新の開発技術を踏まえた内容となっています。同基準は、「安全なソフトウェアのコア要件」、「アカウントデータ保護要件(モジュールA)」、「端末のソフトウェア要件(モジュールB)」の3章で構成されています。

 

① 安全なソフトウェアのコア要件:ソフトウェアの機能や使用されている技術に関係なく、すべての形式の決済ソフトウェアに適用される一般的なセキュリティ要件。

② アカウントデータ保護要件(モジュールA):アカウントデータを保存、処理、送信する決済ソフトウェアに対する追加のセキュリティ要件。

③ 決済端末(カード情報を読み取る機器)に導入される決済ソフトウェアに対する追加のセキュリティ要件。

 

児童オンラインプライバシー保護法(COPPA)、米国

児童オンラインプライバシー保護法(COPPA)は、子供のプライバシー保護を目的として1998年に立法化され、2000年に制定された連邦法です。13歳以下の子供を対象としたWebサイトやオンラインサービスの運営者と、それ以外の、子供から個人情報を収集していることを自ら認識しているWebサイトやオンラインサービスの運営者に対し、一定の義務を課しています。

 

主に、以下の5点が規定されています:

 

(a) 子供の情報を収集し、そのような情報がどのように利用されるのか、又は収集された情報が第三者に提供されるかどうかについての方針(プライバシーポリシー)をWebサイトの分かりやすい場所に掲載しなければならない。

(b) 子供の個人情報を収集する場合には親の承認を得なければならない。

(c) Webサイト運営者は、収集された子供の情報がどのようなものか親が後から見直すことができるような機会を与えなければならない。

(d) 子供がオンラインゲームやコンテストに参加するために「不必要な」個人情報を公開させるように仕向けてはいけない。

(e) Webサイト運営者は、ネット上で収集した子供の個人情報の匿名性・安全性を完全に守らなければならない。

(参考:内閣府ページ https://www8.cao.go.jp/youth/youth-harm/chousa/h25/net-syogaikoku/2_06.html

 

○自動車業界

・ サイバーセキュリティ及びソフトウェアアップデートの国際基準(UN-R155、UN-R156)

・ ISO/SAE 21434:2021 路上走行車-サイバーセキュリティ工学

・ ISO/IEC 27001

・ PCI DSS(Payment Card Industry データセキュリティ基準)

 

自動車業界も、製造業界と同じくISO/IEC 27001を導入する必要があるほか、顧客に自動車を販売するにあたり、PCI DSSのような金融関連の規格にも対応する必要があります。国連WP29の基準やISO/SAE 21434:2021は、この業界特有の国際規格です。

 

サイバーセキュリティ及びソフトウェアアップデートの国際基準(UN-R155、UN-R156)

国連WP29(自動車基準調和世界フォーラム)による、自動車のサイバーセキュリティやソフトウェアアップデートに関する国際基準です。2020年6月に開催されたWP29本会議において成立しました。以下が、その主な要件です:

 

・サイバーセキュリティおよびソフトウェアアップデートを管理する体制を確保すること

・リスク評価およびリスクへの対処・管理を実施すること

・セキュリティ対策を検証するための試験を実施すること

・メーカーからのソフトウェアアップデートを適切に実施すること

・サイバー攻撃への対策を適切に実施すること

画像出典:国土交通省資料「サイバーセキュリティ及びソフトウェアアップデートの国際基準の概要」(https://www.mlit.go.jp/report/press/content/001350038.pdf

 

ISO/SAE 21434:2021 路上走行車-サイバーセキュリティ工学、国際規格

自動車の電気や電子(E/E)システムのエンジニアリングにおけるサイバーセキュリティを確保するための要求事項やガイドラインを示した国際規格です。前述のUN-R155の具体的な実施要件が、このISO/SAE 21434:2021でまとめられています。

 

○教育業界

・ Family Educational Rights and Privacy Act (FERPA) 

・ Protection of Pupil Rights Amendment (PPRA) 

・ GDPR(General Data Protection Regulation)

・ HIPPA(プライバシールールとセキュリティルール)

・ HITECH

・ PCI DSS(Payment Card Industry データセキュリティ基準)

 

この業界では、児童・生徒・学生のプライバシーを保護するための法律に従う必要があります。さらに、保健情報を収集する可能性も考えられるため、HIPAAやHITECも関連してきます。また、クレジットカードでの学費の支払いを受け付けている学校は、PCI DSSへの対応も行わなければなりません。

 

Family Educational Rights and Privacy Act (FERPA)、米国

Family Educational Rights and Privacy Act(FERPA)は、1974年に制定された連邦法で、児童・生徒・学生の学業記録のプライバシーを保護するための法律です。公立・私立の小学校、中学校、高等学校、大学や、米国教育省のプログラムで資金を受け取っているその他の教育機関に適用されます。教育機関が、対象となる児童・生徒・学生の同意なしに(または本人が未成年の場合はその保護者の書面による同意なしに)、「学業記録内の個人を特定できる情報」を開示することを禁じています。

 

Protection of Pupil Rights Amendment (PPRA)、米国

Protection of Pupil Rights Amendment (PPRA)は、宗教や政治的な信条、精神的な問題といった事柄を問うアンケート調査などから、児童・生徒・学生のプライバシーを保護するための連邦法です。プライベートなことが関連する調査や分析に児童・生徒・学生を参加させるためには、保護者の同意を得なければならないことなどが定められています。

 

情報源

https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/#gaiyo

https://www.mhlw.go.jp/shingi/2010/06/dl/s0616-4g.pdf

https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html

https://www.cdc.gov/phlp/publications/topic/hipaa.html

https://www.hhs.gov/hipaa/for-professionals/security/index.html

https://www.hhs.gov/hipaa/for-professionals/special-topics/hitech-act-enforcement-interim-final-rule/index.html

https://www.gdprsummary.com/gdpr-summary/

https://www.meti.go.jp/policy/mono_info_service/connected_industries/pdf/gdpr01.pdf

https://www.ppc.go.jp/files/pdf/eukojindata.pdf

https://www.jcdsc.org/pci_dss.php

https://www.jqa.jp/service_list/management/service/pcidss/

https://www.iima.or.jp/docs/newsletter/2019/NL2019_7.pdf

https://eur-lex.europa.eu/legal-content/EN/LSU/?uri=CELEX:32015L2366

https://logrhythm[.]com/solutions/compliance/nydfs-cybersecurity/

https://www.skadden.com/insights/publications/2018/01/2018-insights/new-york-cybersecurity-regulations

https://oag.ca.gov/privacy/ccpa

https://www.jetro.go.jp/biznews/2020/07/9049b1b5781fe343.html

https://blog.cymulate.com/sox-compliance-now-includes-cybersecurity

https://www[.]tripwire[.]com/state-of-security/regulatory-compliance/sox/sox-sarbanes-oxley-compliance-primer/

https://www.securit.biz/securit-news/compliance-across-industry-cybersecurity-compliance-requirements-by-industry-series-2

https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act

https://www.jqa.jp/service_list/management/service/iso27001/

https://isms.jp/isms/about.html

https://www.cybersaint.io/blog/defense-federal-acquisition-regulation-supplement-overview-dod-revenue

https://www.itgovernanceusa.com/dfars

https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/PCI-Secure-Software-Standard-v1_1_JP.pdf

https://www.pcisecuritystandards.org/minisite/en/pa-dss-v2-0.php

https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/PCI-Secure-Software-Standard-v1_1_JP.pdf

https://www.jcdsc.org/news/pdf/2020/20201111_padss-ssf.pdf

https://www8.cao.go.jp/youth/youth-harm/chousa/h25/net-syogaikoku/2_06.html

https://www.ftc.gov/enforcement/rules/rulemaking-regulatory-reform-proceedings/childrens-online-privacy-protection-rule

https://www.mlit.go.jp/report/press/content/001350038.pdf

https://unece.org/wp29-introduction

https://www.jetro.go.jp/biznews/2021/09/3e7758d46c78058a.html

https://www.iso.org/standard/70918.html

https://www.ekransystem.com/en/blog/cybersecurity-in-educational-institutions

https://www.cdc.gov/phlp/publications/topic/ferpa.html

https://studentprivacycompass[.]org/faqs-ppra/

https://studentprivacy.ed.gov/faq/what-protection-pupil-rights-amendment-ppra