カリフォルニア州で可決された2つの新たな法案により、IoTデバイスメーカーおよび消費者情報を保持する企業は新たな規制を課されることになります。以下では、2020年に施行される2つの新法が、こうした企業以外に及ぼす影響について考察します。

対応する連邦法が未だ制定されていないなか、カリフォルニア州議会は先頃、消費者のプライバシー保護およびモノのIoTの安全性強化を目的とする新たな法案を可決しました。これらの新法による規制の対象は、オンラインで顧客情報を収集している企業およびIoTデバイスメーカーです。

多くの企業にとって、これらの新法による影響は限定的です。IoTセキュリティ法には、IoTベンダーがデバイスをどのように保護すべきかは定義されておらず、またプライバシー法は、欧州連合の一般データ保護規則 (GDPR) に定められた広範なルールの一部を踏襲する内容となっています。しかしながら、2020年にこれらの新法が施行されるのに伴い、IoT製造業者および消費者データを収集している企業は新たなルールへの対応を求められます。

カリフォルニア州消費者プライバシー法 (CCPA) およびコネクテッドデバイスセキュリティ法はいずれも議会を通過し、2018年にジェリー・ブラウン州知事により署名されました。これによりカリフォルニア州は、消費者プライバシーおよびIoTセキュリティの規制に関して最先端に躍り出ることとなりました。

カリフォルニア州におけるこうした動きの前に、米連邦議会では、IoTセキュリティおよび消費者プライバシーに関連する法案がいずれも否決されています。ここ数年にわたり、プライバシー擁護団体および一部議員による包括的な消費者プライバシー法制定の取り組みは、ことごとく失敗に終わっています。複数のIoTセキュリティ問題の発生を受けて、過去1年半の間に議員らが提出したIoTサイバーセキュリティ向上法をはじめとするIoTセキュリティ法案は、いずれも議会を通過できませんでした。

しかしながら、米連邦議会は2019年にIoTセキュリティおよび消費者プライバシーに関する取り組みを再開する見通しです。先頃、上院商務・科学・運輸委員会の小委員会メンバーにより、2019年の早い段階で消費者プライバシー法の草案を発表することが話し合われました。

 

新法が米国国家標準に及ぼす影響

多くのIoT企業およびe-コマース企業がカリフォルニア州に顧客を持っているため、より厳格な法律が他州に先駆けてカリフォルニア州で発効されると、それらの州法が事実上の米国国家標準となります。

「さまざまな州の適用法に個別に対応するのは、コスト効率の観点から得策とは言えないため、新たなカリフォルニア州法の発効に伴い、テクノロジー業界およびその他の業界の大規模企業は、同州だけでなく、すべての消費者を対象とする、より厳格なプライバシー規則を策定することになると思われます」とカリフォルニア州のテクノロジー専門法律家であるMorvareed Salehpour氏は指摘します。

またカリフォルニア州の法律制定を受けて、他州でも法案の可決が促進されると予想されます。

電子フロンティア財団 (EFF) の上級専属弁護士であるLee Tien氏は、カリフォルニア州は消費者およびテクノロジー関連法の「ソートリーダー」になりつつあると指摘します。カリフォルニア州法とまったく同じ内容ではないにせよ、今後数年間にわたり、他州においても独自のIoTセキュリティ法および消費者プライバシー法の制定が進むと予想されます。

いずれの法案についても批判が存在し、IoT法案については具体的なルールが示されていない、またCCPAについては厳しすぎる、あるいは逆に緩すぎるとの声が上がっています。

IoT法案では、IoT製造業者に対して、デバイスの機能ならびにデバイスが収集および伝送する情報に応じて「妥当な」セキュリティ対策をデバイスに装備するよう義務付けています。

一方CCPAは、GDPRに類似した側面を有し、消費者に対して、自分の個人情報のうちどのような情報を企業が保有し、どのような目的で使用し、それらの情報が共有若しくは販売されているのかどうかを知る権利を付与しています。さらに同法では、自分の個人情報を企業が共有または販売するのを拒否する権利に加えて、多くの場合に自分の情報の削除を企業に要求する権利も消費者に付与しています。

 

コネクテッドデバイスセキュリティ法の影響

IoTセキュリティ法は、コネクテッドデバイスに対する「妥当な」セキュリティ対策を求めていますが、具体的な指針はほとんど示されていません。また同法はIoTテクノロジーの製造業者を対象とするもので、その顧客 (例えばIoTネットワークを展開している大規模企業など) は規制の対象外です。

同法では、認証テクノロジー (情報システム上のリソースに対する、ユーザー、プロセス、デバイスなどのアクセス権限を検証するためのテクノロジー) の展開を妥当なセキュリティ対策と認めている一方で、その他の提案はほとんどなされていません。

このように具体性に欠けることで、同法の有用性を疑問視する声も少なくありません。

サイバーセキュリティベンダーのArxan社で製品管理担当バイスプレジデントを務めるRusty Carter氏は、同法が「それ自体で、デバイスのセキュリティや消費者の安全性を劇的に向上させることは期待できない」と述べています。しかしながら同氏が付け加えるように、同法によってIoTのセキュリティ問題にスポットライトが当てられ、問題を起こした企業は「世論という法廷で有罪判決を下される」ことによる損失を被る可能性が高まります。

「妥当な」セキュリティプラクティスの内容がほとんど定義されていないことに加えて、この法案は、製造業者を相手に訴訟を起こす新たな権利をIoTユーザーや消費者に付与するものでもない、とシアトルに拠点を置くテクノロジー専門の法律事務所であるFoundry Law Groupの法務責任者を務めるMarcus Harjani氏は指摘します。「この法案は、ユーザー情報の保護に向けた第1歩ではあるものの、コネクテッドデバイスの製造業者に軽微な義務を課すものに留まっています」。

しかしながら同法により、IoT製造業者が一般的に使用しているデフォルトパスワードが禁止される可能性があることに、CipherCloud社CEOのPravin Kothari氏は注目しています。同氏が指摘するとおり、攻撃者はオープンな公開ポートを介してアクセス可能なデバイスをインターネット上で簡単にスキャンし、デフォルトパスワードを使用してそれらのデバイスを制御することが可能です。

IoTに関する侵害事案の約4分の3がデフォルトパスワードに関連しており、コネクテッドデバイスの約10%で、「admin」、「root」、「12345」などの推測しやすいパスワードが使用されている、とKothari氏は付け加えます。

「この新たな法案が可決されたら、デフォルトパスワードによって引き起こされる、何十億ドルも盗難、損害、余計な労力などを防止できます」とKothari氏は指摘し、同法は「非常に大きな前進」であると述べています。

 

カリフォルニア州消費者プライバシー法の影響

CCPAとGDPRには類似した側面があるとは言え、いくつかの相違点も存在します。GDPRが、消費者データの使用だけでなく収集についても規定する幅広い内容であるのに対して、カリフォルニア州法では、収集された消費者データの使用方法に重点が置かれています。

カリフォルニア州法は、収集したデータの使用目的を消費者に伝えることを大多数の企業に義務付けるとともに、企業が他の組織とデータ共有契約を締結することを拒否する権利を消費者に付与しています。同法ではデータの収集と使用よりも「開示と透明性」に重点が置かれている、とEFFのTien氏は指摘します。

CCPAに違反した場合、インシデント当たり7,500ドル以下の罰金が科されます。また消費者は、自身の非暗号化データが企業から盗まれたり、不十分なセキュリティプラクティスのために開示されたりした場合に、インシデント当たり最高750ドルの訴訟を起こすことが可能です。罰金額はそれほど大きくないものの、プライバシーの専門家らは、州政府が違反企業に対して法執行を速やかに実施することで、その本気度を示すことに期待しています。

カリフォルニア州法では、売上が2,500万ドル未満であるか、顧客またはデバイス収集ポイントの数が50,000未満の企業は規制対象から除外されます。

この点について、サイバーセキュリティベンダーのPCM社でセキュリティサービス担当ディレクターを務めるJohn Kronick氏は、「規制を免除されるのはごく小規模な企業に限られ、非常に多くの企業がCCPAの規制範囲に含まれる」と述べています。

その一方で朗報もあります。2018年5月に施行されたGDPRに準拠している企業は、カリフォルニア州法の要件の大部分をすでに満たしているはずです。

GDPRに準拠することで、企業はCCPAへの対応に向けて「好位置」から発進できる、とTien氏は指摘します。「GDPR要件の大部分をすでに満たしている企業は、あと一息でカリフォルニア州法にも準拠できます」。

ただしCCPAの対象ではあるが、GDPRに準拠する必要がない企業も存在します。このシナリオに該当するのが、カリフォルニア州に顧客を持っているが、欧州では事業を展開していない米国企業です。またカリフォルニア州に顧客を持っていない米国企業、例えばバーモント州のローカルな食料品店などの場合は、CCPAへの準拠は必要ありません。すなわちポイントは、カリフォルニア州居住者のデータを収集するかどうかです。

なお留意すべき点として、このカリフォルニア州法はまだ確定したものではありません。州議会は2019年の会期中に規制要件の厳格化または緩和を試みることができ、また現段階では、州検事総長に複数のプライバシー規則を策定する権限が与えられています。

PCM社のKronick氏は、GDPRとCCPAのコンプライアンス要件は、かなりの部分が重複すると見ています。例えばある企業がGDPR対策の一環として、消費者から自身の個人情報へのアクセスを要求された際の対応手順を見直した場合、カリフォルニア州法にも同様の手順で対応できると同氏は予測します。さらに、GDPRに対応するための従業員向けセキュリティ意識向上トレーニングもCCPAに応用できるとKronick氏は付け加えます。

「いずれの法律も、消費者またはデータ主体は、企業がどのような個人データを使用するつもりであるかを、自身のデータが収集および処理される前に知る権利を有する、という考え方を原則としています」と同氏は説明します。「またいずれの法律も、第三者との個人情報の共有または販売について、詳細に開示することを企業に義務付けています」。

 

IoTとプライバシー規制: リーダーのためのアドバイス

• カリフォルニア州議会は2018年にIoTセキュリティおよび消費者プライバシーに関する新たな法案を可決しました。これらの新法は2020年に施行されます。
• いずれの法案も規制の範囲は限定的ですが、IoTデバイスメーカーおよび消費者データを取り扱う企業は新たな規制の対象に含まれます。
• 消費者プライバシー法により、大多数の企業が、どのような個人データを保持しているかを消費者に伝える義務、および顧客の要求に応じて情報を削除する義務を課されます。

_{この記事/コンテンツは、記載されている個人の著者が執筆したものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。}