危険信号ルール

個人情報盗難規制

レッドフラッグルールは、連邦取引委員会（FTC）が全米信用組合管理局（NCUA）などの政府機関と共同で制定したもので、個人情報窃盗の防止を目的としています。このルールは2008年1月に可決され、2008年11月1日までに施行される予定でしたが、反対派の抵抗により、FTCは施行を2010年12月31日まで延期しました。^[1]

2010年12月、レッドフラッグプログラム明確化法^[2]によりレッドフラッグルールが明確化され、サービス提供時に全額の支払いを受け取っていないほとんどの医師、弁護士、その他の専門家が除外されました。

歴史

レッドフラッグルールは、2003年の公正かつ正確な信用取引法^[3]（FACTA）の第114条と第315条に基づいています。

FACTAは、

個人情報盗難防止と信用履歴の回復、
信用情報の利用と消費者のアクセスの改善
消費者レポート情報の正確性の向上
金融システムにおける医療情報の利用と共有の制限
金融リテラシーと教育の改善
従業員の不正行為の調査の保護、および
州法との関係^[4]

カバレッジ

この規則は、金融機関と債権者の2つの異なるグループに適用されます。^[5] 金融機関とは、州立銀行または国立銀行、州立または連邦の貯蓄貸付組合、相互貯蓄銀行、州立または連邦の信用組合、または消費者に属する「取引口座」を保有するその他の事業体と定義されます。^{[6] FACTAの}「債権者」 の定義は、定期的に信用供与または更新を行う、または他者にそうするよう手配するあらゆる事業体に適用され、商品またはサービスに対する延払いを定期的に許可するすべての事業体が含まれます。^[7]

債権者の定義は、2010年のレッドフラッグプログラム明確化法によって明確化されました。^[2]明確化法によれば、債権者は定期的に、また事業の過程において、

消費者信用レポートを入手または使用する;
消費者信用情報機関に情報を提供する。
将来返済しなければならない（または担保を差し出す）前払い資金。

この定義は、2010年3月4日の米国コロンビア特別区巡回控訴裁判所による米国法曹協会対連邦取引委員会の判決においてさらに明確化されました。^[8]裁判所は、この法案に関するドッド上院議員の「弁護士、医師、その他のサービス提供者は、サービス提供時に顧客から全額の支払いを受けていないという理由だけで、レッドフラッグルールの目的においてもはや『債権者』として分類されない」という発言を支持しました。

この規則が適用される企業は多岐にわたります。このリストには、金融会社、自動車販売店、住宅ローンブローカー、公益事業会社、通信会社などが含まれますが、これらに限定されません。また、資金を前払いしたり、サービスを提供して作業完了後に支払いを受ける際に消費者信用機関と定期的にやり取りするその他の企業も含まれます。

要素

レッドフラッグ・ルールは、特定の企業や組織が個人情報盗難防止プログラムをどのように策定、実施、管理すべきかを定めています。このプログラムには4つの基本要素が含まれ、これらが組み合わさって個人情報盗難の脅威に対処するための枠組みを形成します。^[9]^[10]

プログラムには 4 つの要素があります。

1)関連する危険信号を特定する

企業特有の個人情報盗難の危険信号を特定する

2)危険信号を検出する

日常業務における危険信号を検出するための手順を定義する

3)個人情報の盗難を防止し、軽減する

危険信号が特定された場合は、被害を防止し軽減するために行動する

4)プログラムのアップデート

運用スタッフの教育を含むレッドフラッグプログラムを維持する

レッドフラッグルールは、すべての金融機関と債権者に、その規模と複雑さ、そして業務の性質に適したプログラムを設計し、実施する機会を与えています。^[6]

危険信号は次の 5 つのカテゴリに分類されます。

消費者信用情報機関からの警告、通知、または警告^[6]
不審文書^[6]
疑わしい住所などの疑わしい身元情報^[6]
対象口座の異常な使用または疑わしい活動^[6]
顧客、個人情報盗難の被害者、法執行機関、または他の企業からの、対象口座に関連する個人情報盗難の可能性に関する通知^[6]

FTCは、個々の企業のニーズに合わせて入力できる企業向けテンプレートを作成しました。このテンプレートはFTCのウェブサイトから入手できます。ただし、このテンプレートは小規模でリスクが非常に低い企業にのみ適しています。

コンプライアンス

1970年の公正信用報告法（2003年の改正、FCRA）は、複数の連邦機関に対し、それぞれの執行権限の対象となる事業体に対する個人情報窃盗の検知、防止、軽減に関する共同規則およびガイドライン（「個人情報窃盗レッドフラッグ規則」とも呼ばれる）を公布することを義務付けた。^[11] これらの機関とは、通貨監督庁（OCC）、連邦準備制度理事会（連邦準備制度理事会）、連邦預金保険公社（FDIC）、貯蓄金融機関監督局（OTS）、全国信用組合管理局（NCUA）、および連邦取引委員会（FTC）（以下、総称して「機関」）である。2007年、これらの機関は共同で最終的な個人情報窃盗レッドフラッグ規則を公布した。^[12]

2011年1月1日、FTC（連邦取引委員会）は、2003年公正かつ正確な信用取引法（FACT法）に基づくレッドフラッグルールの施行を開始しました。レッドフラッグルールでは、各「金融機関」または「債権者」（ほとんどの証券会社を含む）に対し、「対象口座」の開設または維持に関連して、個人情報の盗難を検知、防止、および軽減するための書面によるプログラムを実施することが義務付けられています。対象口座には、複数の支払いまたは取引を許可する個人向け口座（個人向け証券口座、クレジットカード口座、信用取引口座、当座預金口座または普通預金口座など）、あるいは顧客または企業にとって個人情報の盗難によるリスクが合理的に予見可能なその他の口座が含まれます。

2011 年 7 月 21 日、ドッド・フランク・ウォール街改革および消費者保護法 (ドッド・フランク法) により、規制対象となる企業に対する個人情報盗難の危険信号ルールとガイドラインの制定と施行の責任が、証券取引委員会 (SEC) と商品先物取引委員会 (CFTC) に移管されました。

2013年4月19日、SECとCFTCは共同で、2013年5月20日に発効し、2013年11月20日を遵守日とする、最終的な個人情報窃盗レッドフラッグ規則およびガイドラインを公表しました。この規則およびガイドラインには、FTCレッドフラッグ規則およびガイドラインにまだ含まれていない要件は含まれておらず、また、この規則の対象範囲を拡大して、この規則でまだカバーされていない新しいカテゴリーの事業体を含めるものではありません。ただし、SECの執行権限に属する事業体が規則を遵守するための指針となる事例や、若干の文言の変更が含まれています。これにより、これまで規則を遵守していなかった事業体も、SECとCFTCが採択した規則の適用範囲に含まれると判断する可能性があります。

レッドフラッグルールと個人情報窃盗

レッドフラッグルールは債権者を広く定義しているため、多くの企業（公益事業会社など）は、事業目的に必要のない個人情報（社会保障番号や運転免許証番号など）を収集することが求められています。この方針は、消費者は絶対に必要な場合にのみ社会保障番号を他者に開示すべきであるというFTCの消費者へのアドバイスに反しています。^[13]レッドフラッグルールのこの側面は、消費者の社会保障番号を保有する企業の数を増加させ、消費者がデータ盗難による個人情報窃盗のリスクを高めるとともに、このデータの保護を義務付けられている企業のコストを増大させるという、意図しない結果をもたらしています。

参考文献

^ 「FTC、個人情報窃盗レッドフラッグ規則の施行期限を延長」2010年5月28日。
^ ab 「2010年レッドフラッグプログラム明確化法（2010 - S. 3987）」。
^ 「政府機関が個人情報窃盗の危険信号と住所不一致の通知に関する最終規則を発表」2007年10月31日。
^ 2003年公正かつ正確な信用取引法、公文書、第108回議会、法律第108-159巻、2009年2月2日閲覧
^ 「レッドフラッグ規制により金融機関と債権者は個人情報盗難防止プログラムの導入を義務付けられる」2008年7月8日。
^ abcdefg 「金融機関と債権者に対する新たな「レッドフラッグ」要件は、個人情報窃盗対策に役立つ」。2008年8月13日時点のオリジナルよりアーカイブ。 2009年7月9日閲覧。
^ 「FTCは、債権者と金融機関に個人情報盗難防止プログラムの導入を義務付けるレッドフラッグ規則の施行を3か月延期する」2009年4月30日。
^ http://www.ama-assn.org/ama1/pub/upload/mm/399/aba-versus-ftc.pdf ^{[リンク切れ]}
^ 「アーカイブコピー」（PDF）。 2009年8月13日時点のオリジナル（PDF）からアーカイブ。 2009年7月9日閲覧。{{cite web}}: CS1 maint: アーカイブされたコピーをタイトルとして (リンク)
^ 「個人情報窃盗」とは、他人の識別情報を無許可で利用して行われる、または試みられる詐欺行為を指します。16 CFR § 603.2(a) を参照してください。「識別情報」とは、「単独または他の情報と組み合わせて特定の個人を識別するために使用される可能性のある名前または番号を意味し、これには以下が含まれます - (1) 氏名、社会保障番号、生年月日、州または政府発行の公式運転免許証または身分証明書番号、外国人登録番号、政府パスポート番号、雇用者または納税者番号。 (2) 指紋、声紋、網膜または虹彩画像、またはその他の固有の物理的表現などの固有の生体認証データ。 (3) 固有の電子識別番号、住所、またはルーティングコード。 (4) 電気通信識別情報またはアクセスデバイス（18 USC 1029(e) の定義による）。16 CFR § 603.2(b) を参照してください。
^ FCRA§§615(e)(1)(A)–(B)、15 USC 1681m(e)(1)(A)–(B)を参照。
^ 2003 年の公正かつ正確なクレジット取引法に基づく個人情報盗難の危険信号と住所の不一致、72 FR 63718 (2007 年 11 月 9 日) を参照。
^ ftc.gov. 「Deter Minimize Your Risk」。2011年10月13日時点のオリジナルよりアーカイブ。2011年10月14日閲覧。

[1] 「FTC、個人情報窃盗レッドフラッグ規則の施行期限を延長」2010年5月28日。

[govtrack.us-2] 「2010年レッドフラッグプログラム明確化法（2010 - S. 3987）」。

[3] 「政府機関が個人情報窃盗の危険信号と住所不一致の通知に関する最終規則を発表」2007年10月31日。

[4] 2003年公正かつ正確な信用取引法、公文書、第108回議会、法律第108-159巻、2009年2月2日閲覧

[5] 「レッドフラッグ規制により金融機関と債権者は個人情報盗難防止プログラムの導入を義務付けられる」2008年7月8日。

[ftc.gov-6] 「金融機関と債権者に対する新たな「レッドフラッグ」要件は、個人情報窃盗対策に役立つ」。2008年8月13日時点のオリジナルよりアーカイブ。 2009年7月9日閲覧。

[7] 「FTCは、債権者と金融機関に個人情報盗難防止プログラムの導入を義務付けるレッドフラッグ規則の施行を3か月延期する」2009年4月30日。

[8] ttp://www.ama-assn.org/ama1/pub/upload/mm/399/aba-versus-ftc.pdf ^{[リンク切れ]}

[9] 「アーカイブコピー」（PDF）。 2009年8月13日時点のオリジナル（PDF）からアーカイブ。 2009年7月9日閲覧。{{cite web}}: CS1 maint: アーカイブされたコピーをタイトルとして (リンク)

[10] 「個人情報窃盗」とは、他人の識別情報を無許可で利用して行われる、または試みられる詐欺行為を指します。16 CFR § 603.2(a) を参照してください。「識別情報」とは、「単独または他の情報と組み合わせて特定の個人を識別するために使用される可能性のある名前または番号を意味し、これには以下が含まれます - (1) 氏名、社会保障番号、生年月日、州または政府発行の公式運転免許証または身分証明書番号、外国人登録番号、政府パスポート番号、雇用者または納税者番号。 (2) 指紋、声紋、網膜または虹彩画像、またはその他の固有の物理的表現などの固有の生体認証データ。 (3) 固有の電子識別番号、住所、またはルーティングコード。 (4) 電気通信識別情報またはアクセスデバイス（18 USC 1029(e) の定義による）。16 CFR § 603.2(b) を参照してください。

[11] FCRA§§615(e)(1)(A)–(B)、15 USC 1681m(e)(1)(A)–(B)を参照。

[12] 2003 年の公正かつ正確なクレジット取引法に基づく個人情報盗難の危険信号と住所の不一致、72 FR 63718 (2007 年 11 月 9 日) を参照。

[ftcGuide-13] tc.gov. 「Deter Minimize Your Risk」。2011年10月13日時点のオリジナルよりアーカイブ。2011年10月14日閲覧。