米国:改正されたマサチューセッツ州プライバシー保護法が2010年3月1日に発効
電子データとしての個人情報やプライバシーデータの保護を強化するため,それを収集する者に対し非常に強度のセキュリティ措置を講ずることを義務付けることによって,プライバシー保護を強化しようとするマサチューセッツ州の改正プライバシー保護法が発効した。
New Data Security Regulations to Take Effect in Massachusetts on March 1st, 2010
Privacy Law & Policy: February 25, 2010
http://www.privacylawandpolicy.com/2010/02/articles/cloud-privacy/new-data-security-regulations-to-take-effect-in-massachusetts-on-march-1st-2010/
201 CMR 17 FAQ: Updates to Massachusetts data protection law
IT Knowledge Exchange: Aug 17 2009
http://itknowledgeexchange.techtarget.com/it-compliance/201-cmr-17-faq-updates-to-massachusetts-data-protection-law/
この改正法の条文は下記のところで入手することができる。
201 CMR 17.00: STANDARDS FOR THE PROTECTION OF PERSONAL INFORMATION OF RESIDENTS OF THE COMMONWEALTH
http://www.mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf
この法律は,州法なので,マサチューセッツ州内でしか適用されない。しかし,今後,同様の法改正が各州で連鎖的になされることになるだろうと思う。それは,SNSを含め,ネット上での個人データの取扱いがあまりにも安易過ぎるということに起因している。
日本では,「過剰反応」と称して個人情報の保護を弱体化させようとするもくろみがあったが,これは(少なくとも部分的には)間違いだ。「過剰反応」ではなく,「もっと適切に対処すること」が大事なのだ。そして,個人情報を取得・管理することによるセキュリティコストが高すぎるというのであれば,個人情報の収集に頼らないビジネスモデルを構築すれば足りることなのであり,要するに,経営者の決断だけで決めることのできる事項に属する。
企業活動は,完全に自由ではない。あくまでも法令の定める範囲内でしか企業活動は許されない。このことは社会主義国でも自由主義国でも全く同じことだ。
いずれにせよ,個人データの保護のための手法は,第2世代に入ったということができる。
拙著『電子署名法』(リックテレコム)の中でも書いたことだが,電子署名の信頼性にせよプライバシーデータの保護の態度にせよ,一般法則としては,「情報セキュリティの強度と正比例する」。電子データに関する限り,この一般法則が崩れることはあり得ない。しかも,小学生でも理解可能な簡単な理屈だ。この一般法則が州レベルの議員にもようやく理解されるようになってきたということなのだろう。
[追記:2010年3月7日]
関連記事を追加する。
New Massachusetts Data Privacy Law Adds Incentive For Strong Database Security
dark READING: 3 05, 2010
http://www.darkreading.com/database_security/security/app-security/showArticle.jhtml?articleID=223200019
| 固定リンク
« Googleに対する独占禁止法違反をめぐる論争は,GoogleとMicrosoftとの間の私的な確執に過ぎないのか? | トップページ | EU:Googleに対し,ストリートビュー画像を6ヶ月毎に全部消去するように要求 »
コメント