【報告】カリフォルニア: セキュリティ侵害発生時の本人通知の要件と例外(SB446)

第1798.82条の改正

新たな報告期限の追加と義務的な侵害通知要件

• データ侵害の発見後、第1798.82条 (a) (1) 項に基づき、カリフォルニア州住民に対するセキュリティ侵害通知を行う場合、この開示はデータ侵害の発見又は報告から30暦日以内に実施されなければならない
• この30暦日の期限は、以下の場合に延長することができる：
  • 法執行機関の正当な要請に応じる場合、又は法執行機関が通知により刑事捜査が妨げられる判断した場合
    • この場合、法執行機関が捜査に支障をきたさないと判断した後、速やかに通知を行わなければならない
  • 侵害の範囲を特定し、侵害されたデータシステムの合理的な完全性を回復するために必要な場合
• 個人又は事業者が、自己が所有しない個人情報を含むコンピュータ化されたデータを管理する場合、以下の条件を満たすときは、発見後直ちに当該情報の所有者又は利用許諾者にデータ侵害を通知しなければならない
  • 当該個人情報が、不正な者によって取得された、又は取得されたと合理的に疑われる場合
• セキュリティ侵害通知の発行が義務付けられる個人又は事業者は、以下の要件を全て満たさなければならない
  • 通知の表題は”Notice of Data breach”(「データ侵害通知」)とする
  • 次の見出しの下に情報を記載する：
    • “What Happened”(「発生した内容」)
    • “What Information Was Involved”(「関与した情報」)
    • “What We Are Doing”(「当社の対応」)
    • “What You Can Do”(「本人ができること」)
    • “For More Information”(「詳細情報」)
      • 補足情報 (e.g. 電話番号、ウェブサイト) を提供してもよい
  • 通知は平易な言語で記述され、通知の見出し / タイトルは明確かつ目立つように表示されること
  • 通知の本文は10ポイント以上の文字サイズで記載されること

セキュリティ侵害通知の必須内容

• 通知した個人又は事業者の氏名及び連絡先情報
• 侵害の対象となった、又は合理的に侵害の対象とみなされる個人情報の種類一覧
• 侵害発生日、推定発生日、侵害が発生した期間 (入手可能な場合) 、通知日
• 法執行機関の調査により通知が遅延したかどうか (通知提供時点で判明している場合)
• 侵害事案の概要 (通知提供時点で判明している場合)
• ソーシャルセキュリティー番号(SSN)、運転免許証番号、又はカリフォルニア州身分証明書番号が漏洩した場合、主要信用情報機関のフリーダイヤルの電話番号及び住所
• 通知を行った個人又は事業者が情報漏えいの原因であった場合、影響を受けた個人に対し、少なくとも12か月間無償で提供する適切な身元盗難防止(identity theft prevention service)及び軽減サービス(mitigation service)に関する情報
  • 個人情報漏えいが発生(発生した可能)し、当該漏えいにより個人情報が暴露された(可能性がある)場合、本オファー利用のための情報を提供する
• 任意の情報として、講じた安全対策、個人向け自己防衛アドバイス、認証のための生体認証データ利用中止を他の管理者に通知する (生体認証データが漏洩した場合)
• HIPAAの対象事業者は、経済的及び臨床的健康のための医療情報技術法(Health Information Technology for Economic and Clinical Health Act)第13402条 (f) 項に完全に準拠している場合、本項の通知要件を満たしたものとみなされる
  • ただし、その場合でも対象事業者を本項の他の規定から免除することはない

カリフォルニア州司法長官へのセキュリティ侵害通知の提出

• セキュリティシステムの単一侵害により、500人以上のカリフォルニア州居住者に対してセキュリティ侵害通知を発行する必要がある個人又は事業者は、個人を特定できる情報を除いた当該通知のサンプルコピー1部を電子的に提出しなければならない
  • 影響を受けた消費者への通知から15暦日以内に、カリフォルニア州司法長官宛てに提出