グラム・リーチ・ブライリー法（GLBA）とは何ですか？

グラム・リーチ・ブライリー法（GLBA）、またはGLB法、あるいは1999年金融サービス近代化法とも呼ばれるこの法律は、米国議会によって制定され、金融機関が顧客の機密個人情報をどのように扱うかを規制するものです。

この連邦法の規定に従うために、金融機関は顧客の個人データをどのように扱うかを透明にし、このデータを共有する際には通知を行い、顧客にデータ共有の取り決めからオプトアウトする権利があることを知らせる必要があります。さらに、この法律の中のセーフガード規則とプライバシー規則は、金融機関が顧客データを保護するために取るべき具体的な手順を示しています。

GLBAは主に連邦取引委員会、その他の連邦規制機関、および州の保険監督機関によって施行されています。以下では、GLBAの詳細と、組織が常に規制コンプライアンスを確保する方法について詳しく説明します。

GLBAの主要な構成要素

グラム・リーチ・ブライリー法は、以下の3つのセクションで構成されています：

• 金融プライバシー規則
• セーフガード規則
• 偽装規定

金融プライバシー規則は金融情報の収集と開示を規制し、セーフガード規則は金融機関が収集した情報を保護するためのセキュリティプロトコルを実施することを義務付けています。偽装規定は、機密情報にアクセスするための偽装的な試みをカバーしています。

GLBAの主な目的は、企業が既に実施しているサイバーセキュリティリスク管理戦略やプログラムを補完することです。GLBAは本質的に、金融の個人識別情報（PII）にさらなるセキュリティ層を追加します。

GLBAは、機密PIIを収集する機関に対して、このデータがプライベートに保たれることを顧客の希望に従って尊重するという前提で、保護の義務を課しています。企業が顧客のPIIデータの一部を共有したり、将来の使用のために保持したい場合、企業は顧客に適切に通知し、データ共有からオプトアウトするオプションを提供しなければなりません。

GLBAにおける「金融機関」とは？

GLBAは、金融機関として何が含まれるか、何が除外されるかを明確に定義しています。具体的には、保険、ローン、金融アドバイス、投資アドバイスなどの金融商品を提供する企業は、金融機関と見なされます。

GLBAの下では、これらの企業はデータ共有の実践と顧客の機密データをどのように保護しているかを開示しなければなりません。また、顧客に対して、実施されているデータ共有の取り決めからオプトアウトする権利があることを通知しなければなりません。

GLB法は、金融機関が非関連第三者に機密データを開示する範囲を制限し、それを行う際に顧客に通知する方法を規定しています。さらに、そのような情報を受け取る可能性のあるいかなるエンティティも、それをどのように使用するか、または他のいかなる当事者に開示するかについて制限されています。

GLBAに準拠しなければならないエンティティは？

GLB法または1999年金融サービス近代化法は、消費者に金融サービスや製品を提供することに大きく関与しているすべての企業に適用されます。

大きく関与しているという用語は、特定のビジネスを含めたり除外したりするために法律で明確に定義されています。要するに、通常の業務の過程で顧客からの金融的な非公開個人情報に接触するすべての企業は、この法律の規制コンプライアンス要件を満たさなければなりません。

これには、通常は金融機関と呼ばれない企業も含まれます。例としては：

• 不動産鑑定士
• 債権回収業者
• 給料日ローン業者
• 信用組合
• 税務準備者
• 小切手現金化業者
• 会計事務所
• 宅配便サービス
• 住宅ローン仲介業者
• レンタカー会社
• 信用情報機関
• ATM運営者
• 株式仲介業者
• ヘッジファンド

銀行、保険会社、投資会社、証券会社などの伝統的な金融機関も、GLBAによって規制される金融サービス企業として認定されます。したがって、組織がこれらのカテゴリーのいずれかに該当する場合、または金融サービスに大きく関与している場合、GLBAへの準拠は必須です。

GLBAでカバーされるデータ

GLBAは、金融機関が顧客から収集する非公開個人情報（NPI）をカバーしています。NPIは、PII金融情報として法的に定義されています。GLBAは、公共の記録やメディアで広く配布されている情報をカバーしていません。NPIと見なされる情報の一部には以下が含まれます：

• 住所
• 個人所得
• クレジット/デビットカード情報
• 銀行口座
• 銀行残高
• 信用履歴
• 不動産記録
• 社会保障情報
• 税務情報

このリストは網羅的ではなく、NPIと見なされる情報の一例に過ぎません。例えば、GLBAはこのデータからの推論もカバーしています。

GLBAに準拠する方法

法律に準拠するための鍵は、3つの規則を理解することにあります。これらは、以前に概説した3つのセクションです。

金融プライバシー規則

金融プライバシー規則は、法律に準拠しなければならない組織と保護されるべき情報の種類を定めています。NPIを定義し、名前、住所、社会保障番号、銀行口座、クレジットカード情報、信用報告書などの取引データを含みます。

金融プライバシー規則は、顧客関係の開始時にすべてのプライバシーおよびデータ機密性ポリシーの「明確で目立つ通知」を行うことを組織に義務付けています。顧客は毎年プライバシー通知を受け取る必要があります。

金融プライバシー規則は、顧客と消費者の違いも定義しています。顧客は金融機関と継続的な関係を持つ人を指し、消費者は機関と関係を持たない人を指します。

セーフガード規則 

セーフガード規則は、金融プライバシー規則で特定された情報を保護するために必要な手段を示しています。GLBAの下にある組織は、顧客情報を収集、アクセス、使用、配布、共有する際に、技術的、管理的、物理的なセーフガードを使用しなければならないと述べています。  

サイバーセキュリティリスクは、セーフガード規則の下でカバーされています：

• フィッシング
• サイバー攻撃
• メールスプーフィング

2002年に連邦取引委員会によって発行されたセーフガード規則は、法律で定義された金融機関が、組織のための統合されたセキュリティリスクと脅威管理計画の開発とテストに責任を持つ1人を指定することをさらに要求しています。 

NPIデータを共有する金融機関は、第三者リスク管理計画を持っている必要があります。さらに、収集機関はセキュリティ侵害が発生した場合に責任を負います。

偽装規定

偽装規定は、機密データにアクセスして盗むために悪意のある行為者が利用する可能性のあるすべての抜け穴を探すことを目的としています。GLBAによって規制される金融機関は、所有するデータへの不正アクセスを検出し防止するための措置を講じなければなりません。

GLBAに準拠しない場合の罰則

GLBAの規制枠組みに該当する金融機関は、法律の規定に違反した場合、厳しい財政的罰則に直面します。さらに、データ保護に責任を持つ役員や従業員は個別に罰金を科される可能性があります。

機関に対する罰金は、違反ごとに最大10万ドルです。役員や従業員の場合、過失が認められた場合、最大1万ドルの罰金と最大5年の懲役、またはその両方に直面する可能性があります。

罰則や罰金の可能性を超えて、顧客、パートナー、投資家によるビジネス慣行への信頼と信頼の喪失のリスクが高まり、財政的な罰則や罰金よりも大きな悪影響を及ぼす可能性があります。

企業がGLBAやその他の法律に関するコンプライアンス問題を回避する一般的な方法の1つは、ビジネスニーズと顧客ニーズを満たし、法律に準拠するために設計された堅牢なサイバーセキュリティプラットフォームに投資することです。

GLBAコンプライアンスを確保するもう一つの方法は、独立したコンサルティング会社を雇い、サイバーセキュリティインフラストラクチャと実践を監査して、コンプライアンス問題につながる可能性のある抜け穴を特定することです。

GLBAコンプライアンスの利点

罰則や罰金を回避することに加えて、GLBAに準拠することで、金融機関はブランドの評判を守り、それがさらなるビジネスを促進する信頼感を生み出します。GLBAコンプライアンスには付随する利点もあります。例えば、GLBAコンプライアンスに必要なサイバーセキュリティリスク管理能力は、セキュリティも可能にします。具体的には、GLBAに準拠する際に、企業が導入するセキュリティリスク管理能力は、他の種類の機密情報—保護対象保健情報（PHI）、企業の知的財産（IP）、制御されていない分類情報など—への脅威保護を拡張します。これらのセキュリティリスク管理コントロールは、サプライチェーンの脅威からの保護にも役立つことがあります。

GLBAに準拠するもう一つの重要な利点は、健康保険の相互運用性と説明責任に関する法律（HIPAA）、カナダの個人情報保護および電子文書法（PIPEDA）、欧州連合の一般データ保護規則（GDPR）、カリフォルニア州消費者プライバシー法（CCPA）、フランスおよび英国のデータ保護法（DPA）など、他のデータプライバシー規制に対するコンプライアンスと保護を強化することです。

GLBA違反通知手続き

場合によっては、組織が準拠している場合でも、違反が発生することがあります。そのような場合、GLBAは、影響を受けた組織が違反を調査し、顧客の機密PIIがアクセスされたかどうかを判断することを要求しています。影響を受けた顧客には、合理的な時間枠内で通知されるべきです。

通知には、違反の種類、アクセスされたデータ、顧客が身元を保護するために必要なこと、さらなる支援のための電話番号を記載する必要があります。 

GLBAに準拠した機密コンテンツ通信のプライバシーとコンプライアンス

機密コンテンツ通信はGLBAの管轄下にあります。機密情報を送信、共有、受信、保存する金融サービス企業は、GLBAに準拠しなければなりません。多くの組織が、複数のチャネルでの機密コンテンツ通信を管理するのに苦労している中で、これは重要な取り組みとなる可能性があります。すべての機密コンテンツ通信に関するメタデータがない場合、組織はこれらのツールのそれぞれからデータを集めるために貴重な時間とリソースを費やさなければなりません。そして、セキュリティとコンプライアンスのガバナンスが集中化されておらず自動化されていない場合、効果的なセキュリティリスク管理は困難、あるいは不可能です。

Kiteworksプラットフォームは、すべての機密コンテンツ通信—セキュアメール、ファイル共有、ファイル転送、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース（API）—を集中化し、組織がすべての通信チャネルでガバナンス、コンプライアンス、セキュリティの一貫した実行を確保できるようにします。Kiteworksは、FedRAMP認定ホスティングのオプションを含むプライベートコンテンツネットワークを作成することで、GLBAのような規制に対する非準拠のリスクと個人情報の侵害を最小限に抑えることを可能にします。

Kiteworksがプライベートコンテンツネットワークを可能にする方法についての短いビデオ概要をご覧ください。または、Kiteworksプラットフォームを実際に見るために、カスタムデモを今すぐ予約してください。

 

リスクとコンプライアンス用語集に戻る