AT&T on Tuesday said hackers broke into one of its computer systems and accessed personal data on thousands of customers who used its online store.
The information that was illegally accessed includes credit card numbers, AT&T said in a statement. The cyberattack affects about 19,000 customers who purchased equipment for high-speed DSL Internet connections through AT&T's Web site, the company said.
Link
読売新聞 - 14分前
りそな銀行は18日、全店舗の1割強にあたる43店舗で計17万1612人分の顧客情報が記録された小型フィルムを紛失したと発表した ...
りそなHD傘下の2行、顧客情報を紛失
りそな銀、17万人分顧客情報紛失 統廃合の際、廃棄か
徳島新聞 - 産経新聞 - 関連記事 21 件 »
Fair Information Practice Principles
These widely accepted Fair Information Practice Principles are the basis for many privacy laws in the United States, Canada, Europe and other parts of the world.
情報セキュリティとプライバシ保護の8原則は、アメリカ・カナダ・ヨーロッパ各国でのプライバシ保護法の基本となっている。歴史的には1973年に当時のDepartment of Health, Education and Welfareが提案したのが最初で、その後各国の代表からなるOECD理事会で合意されたのが下記に示す8原則である。詳細な説明はOECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data (http://www1.oecd.org/publications/e-book/9302011e.pdf)にある。
Security Breach Notice - Civil Code sections 1798.29, 1798.82, and 1798.84. This law requires a business or a State agency that maintains unencrypted computerized data that includes personal information, as defined, to notify any California resident whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. The type of information that triggers the notice requirement is an individual's name plus one or more of the following: Social Security number, driver's license or state ID card number, or financial account numbers. The law's intention is to give affected individuals the opportunity to take steps to protect themselves from identity theft. See the Office of Privacy Protection’s Recommended Practices in relation to this law.
European legal context
Directive 95/46/CE issued by the European Parliament and Council on 24 October 1995 on the protection of individuals with regard to the processing of personal data and the free movement of such data - Official Journal No. L281, 23/11/1995, p. 0031-0050
Directive 2002/58/CE issued by the European Parliament and Council, 12 July 2002, concerning the processing of personal data and the protection of privacy in the Electronic Communications Sector (Directive on privacy and electronic communications) - European Community Official Journal No. 1201/37, 31/07/2002 (abrogates directive 97/66/CE)
(http://europa.eu.int/eur-lex/en/index.html)
Directive 85/374/CEE issued by the Council on 25 July 1985 on the approximation of laws, regulations and administrative provisions of the Member States concerning liability for defective products - Official Journal No. L210, 07/08/1985, p. 0029 - 0033 Amended by 399L0034 (OJ L 141 04.06.1999 p. 20)
Directive 91/250/CEE issued by the Council on 14 May 1991 on the legal protection of computer programs - Official Journal No. L 122, 17/05/1991 p. 0042-0046
Directive 1999/5/EC by the European Parliament and Council held on 9 March 1999 on radio equipment and telecommunication terminal equipment and the mutual recognition of their conformity - Official Journal No. L 091, 07/04/1999, p. 0010 - 0028
Directive 1999/93/CE by the European Parliament and Council, 13 December 1999 on a community framework for electronic signatures - Official Journal No. L 013 19/01/2000, p. 0012-0020
Communication from the Commission to the Council, the European Parliament, the Economic and Social Committee and the Regions committee (adopted on 26 January 2001 - COM 2000/890 end):
"Create a more secure information society while improving the security of information infrastructures and fighting against cybercrime"Communication from the Commission to the Council, the European Parliament, the Economic and Social Committee and the Regions committee on network and information security, 6 June 2001
(http://europa.eu.int/information_society/eeurope/news_library/pdf_files/netsec_fr.pdf)
European Council Convention on cybercrime
(Treaty open for signature on 23.XI.2001 in Budapest)
For further information about this treaty (status of signatures and ratifications, list of declarations and reserves, explanatory report, etc.), see the Council of Europe site:
(http://conventions.coe.int/Treaty/EN/WhatYouWant.asp?NT=185)Resolution of the European Union Council No. 15152/01, 11 December 2001 on networks and information security.
(http://europa.eu.int/information_society/eeurope/news_library/pdf_files/netsecres_en.pdf)Communication from the commission to the Council, the European Parliament, the Economic and social committee and Regions committee (COM 2002 152):
Proposed Council Framework decision related to attacks on information systems (COM 2002 173 final) published in the European Communities Official Journal C 203 E, 27 August 2002.
"Proposal for a decision of the European Parliament and of the Council amending decision 276/1999/CE adopting a multiannual community action plan on promoting safer use of the Internet by combating illegal and harmful contents on global networks.
(http://europa.eu.int/information_society/programmes/iap/programmes/followup/index_en.htm)
(http://europa.eu.int/eur-lex/en/archive/2002/ce20320020827en.html)
- Information society
eEurope 2002-2005 action plan: an information society for all prepared by the European Council and Commission and presented at the Seville European Council (21-22 June 2002)
(http://europa.eu.int/information_society/eeurope/action_plan/index_en.htm)
- Protection of individuals
European Council Convention for protection of individuals with regard to automatic processing of personal data, 28 January 1981
(http://conventions.coe.int/Treaty/EN/Treaties/Html/108.htm)
・個人情報保護基本法制に関するこれまでの経緯
・概要
・法律
・解説
・OECD加盟国(29カ国)における個人情報保護法等
・EU指令
・主要各国における個人情報保護制度の概要とメディア関係規定
・各国におけるメディアの扱い
empirica is a private, internationally active research and consulting firm concentrating on the following areas:
英国貿易産業省
Consumer Credit Billホームページ
Consumer Strategyメインページ
2005年7月 消費者信用法Consumer Credit Bill (pdf)
19 July 2005 Bill introduced into the House of Lords
Regulatory Impact Assessment
2005年7月法案の規制による影響を評価した報告書
Source: FDIC Consumer Financial Rights
Consumers' financial rights are protected by federal and state laws and regulations covering many services offered by financial institutions. This brochure will assist organizations which often receive complaints about banks, savings and loan associations, and credit unions in referring complaints to the proper regulatory agency.
消費者の信用情報の保護に関する連邦法、州法、条例の一覧と概要を紹介している。
連邦法もFCRA以外にさまざまな法律があり、これらの法令順守のために監督官庁がさらに運用ガイドラインをつくり、業者の活動をモニタリングするとともに消費者の苦情を収集・分析している。
Federal Deposit Insurance Corporation (FDIC), an independent U.S. federal executive agency designed to promote public confidence in banks and to provide insurance coverage for bank deposits up to $100,000. The corporation was established in 1933 to prevent a repetition of the losses incurred during the Great Depression when bankrupt banks could not return the money deposited in them. It is managed by a five-member board of directors, appointed by the president with the consent of the U.S. Senate. The FDIC provides coverage for deposits in national banks, in state banks that are members of the Federal Reserve System , and in other qualified state banks. ( Mutual funds and other securities are not covered.) It may also make loans to insured banks in the interest of protecting the depositors. The corporation derives its income from assessments on insured banks and interest on government securities. Since 1989 the FDIC has supervised the Savings Association Insurance Fund, the agency that was created to provide coverage for savings and loan associations when the Federal Savings and Loan Insurance Corporation became insolvent. A sharp increase in bank failures in the late 1980s and early 1990s led to the insolvency (1991-92) of the FDIC as well, forcing it to seek government loans. The fund recovered by the mid-1990s.
CBCInnovis
1948年に設立されたCredit Bureau of Columbus, Incが母体で1967年から個人信用取引情報のオンライン収集と電子化を推進。いくつかの合従連衡を経て、現在の企業体になる。最も最近では1999年に取引情報データベースで補完的関係にあったInnovis Data Solutionsを買収し、信用情報機関としての事業を強化した。顧客数は約50,000社。
CBCInnovis is part of a privately-held family of companies established in 1948, currently employing almost 2000 people, that provides risk management and marketing services to customers in the business, government and not-for-profit sectors. CBCInnovis serves more than 50,000 customers.
Headquartered in Columbus Ohio, CBCInnovis provides solutions such as credit reports, property information services, receivables management, marketing services, employment and resident screening, and loan application processing software services.
PRIVACY PROTECTION IN A GLOBAL NETWORKED SOCIETY
AN OECD INTERNATIONAL WORKSHOP WITH THE SUPPORT OF THE
BUSINESS AND INDUSTRY ADVISORY COMMITTEE (BIAC)
OECD, Paris, 16-17 February 1998
http://www.fsisac.com/EPIC(Electronic Privacy Information Center)
電子プライバシー情報センター
米国のワシントンに本部がある非営利人権擁護団体で、1994年に設立された。世界で起こっているサイバースペース内の盗聴、著作権保護、ワイセツ画像の規制など、プライバシーに関する情報規制や米国議会の動向、法律など、「サイバースペース内のプライバシー」について情報を提供している。
ICC (International Chamber of Commerce) is the voice of world business championing the global economy as a force for economic growth, job creation and prosperity.
Because national economies are now so closely interwoven, government decisions have far stronger international reper-cussions than in the past.
ICC - the world's only truly global business organization responds by being more assertive in expressing business views.
電子商取引の信頼性を監査するWeb保証サービスの一種で、会計監査の枠組みの中で実施される。独立的立場にいる第三者が実施主体となる。アメリカ公認会計士協会とカナダ勅許会計士協会によって開発され、1997年12月に第一版が公表された。
<資料>
1.WebTrust Principles and Criteria (http://www.aicpa.org/webtrust/princrit.htm)
2.企業と消費者の間の電子商取引のためのWebTrust原則および規準 1.1版、経営情報科学 Vol.12、斉藤隆(東京情報大学)翻訳、2000年3月
3.保証業務特別委員会(通称エリオット委員会)報告、Report of the Special Committee on Assurance Services, 1997,
4.情報の信用力についての報告、Reporting on the Credibility of Information, 1997, IFAC
5.WebTrust保証EC事業者一覧 (1999年末19社) http://www.verisign.com/webtrust/siteindex.html
6.その他のWeb保証サービス(欧米)
・BBB Online (http://www.bbbonline.org)
・TRUSTe (http://www/truste.org)
7.日本の類似サービス
・セコム認証サービス (http://www.secom.ne.jp/lock.html)
・商工会議所のオンラインマーク制度? (http://www/jcci.or.jp/o_mark/mknotice.html)
FTC: Federal Trade Commission
600 Pennsylvania Avenue, N.W., Washington, D.C. 20580
A History of the Federal Trade Commission
A Guide to the Federal Trade Commission Bureau of Consumer Protection
A Positive Agenda for Consumers: The FTC Year in Review [PDF] April 2003 Chapter 2 Consumer Protection Law Enforcement and Rulemaking
credit
Summaries of Rights
Fair Credit Reporting Act
Identity Theft
FTC: Federal Trade Commission
600 Pennsylvania Avenue, N.W., Washington, D.C. 20580
A History of the Federal Trade Commission
A Guide to the Federal Trade Commission Bureau of Consumer Protection
A Positive Agenda for Consumers: The FTC Year in Review [PDF] April 2003 Chapter 2 Consumer Protection Law Enforcement and Rulemaking
credit
Summaries of Rights
Fair Credit Reporting Act
Identity Theft
Figuring out how to comply with the GLBA and ensure the security of customer information isn't easy. The first step is familiarizing yourself with the Guidelines so that you can better understand what is being asked of your organization. Within the Resource Library there is a compilation of GLBA-related links that can help you accomplish this.
Regulatory Documents
Read the following final rules handed down regarding GLBA:
Gramm-Leach-Bliley Act, Title V - Privacy
Interagency Guidelines Establishing Standards for Safeguarding of Customer Information: Final Rule
National Credit Union Administration's Guidelines for Safeguarding Member Information
The Gramm-Leach-Bliley Act (GLBA) made the affiliation of banks, investments firms, and insurance companies possible. In turn for granting greater freedom to the financial industry, the Act put regulations in place to protect customer privacy.
Sarbanes-Oxley Act of 2002(サーベンス・オクスリー法) Web site Forum
トーマツ企業リスク研究所 「日本版『企業改革法』への対応」
[出典] Symantec社Webサイト, 2003年10月21日
米国証券取引所(SEC)に上場している企業にとって、財務報告の新たな時代が幕を開けました。合衆国の法律に準拠した正確な財務資料の作成が、今ほど求められたことはありません。ここ数年の展開を見ていきます。
インターネット上のホームページにある電子商取引の信頼性や安全性を審査するサービスの名称。電子法取引でトラブルが多くなってきていることから、米国とカナダの公認会計士協会が共同でWebTrust制度の運営に乗り出している。日本でも監査法人のトーマツは、専門の研修を受けた公認会計士が審査する有料のWebTrust制度を導入し、審査に通った企業に認定シールを供与する。審査料金は初年度が300万〜500万円、2年目以降が年間200万〜300万円で、このほか、シールをホームページに張るために、米国公認会計士協会に支払うライセンス料金(年間1400ドル)と高額で、SOHOなどが実施する。
[出典]マルチメディア・インターネット事典
WebTrust以外につぎの三つの認定サービスがある。
・BBB Online
・TRUSTe
・ICSA?
Fair Isaac
1956年設立。ニューヨーク証券取引所上場。顧客と信用情報機関の情報から顧客の信用の質を図る信用リスク・スコアリング・ソリューションを提供する業界大手の企業。その予測モデル、意思決定分析、インテリジェント・マネージメント、意志決定管理システム、ならびにコンサルティング・サービスは、世界60カ国において、年間250億件もの重要な意思決定を支えている。
CDIA - Consumer Data Industry Association
1906年設立。米国の個人信用情報産業協会で、個人信用情報機関や抵当権調査、債権回収機関など500社が加盟。この業界では焼く10億枚のクレジットカードが使われ、毎月45億件の信用取引データが発生している。消費者クレジット報告システムーEquifax, Experian, and TransUnionーではそれぞれ2億件のファイルが保存されており、独立系の個人信用情報機関(credit reporting agencies)が利用している。
法令と規制
潟eラネット
〒101-0042 東京都千代田区神田東松下町41-1
法務・コンプライアンス対応室 03-3258-1012 川野さん
1999年、消費者金融分野での多重債務者発生の防止を目的に設立。
会員は与信業者114社。会員へ個人信用情報を提供。
開示手続き(0120-95-0120)は、全国信用情報センター連合会(全情連)に加盟している独立した33の個人信用情報機関に業務委託している。消費者金融専業者等は、それぞれ所在地域を管轄するセンターに会員として加盟している。
これら33の個人信用情報機関が共同利用するSTARSシステムの運用は、鞄本情報センター (JIC)が行っている。JICはさらにPRISおよびCRDBも運営。なお、STARSの企画・開発は潟Aイネットが行っている。
個人信用情報の保護のために、「信用情報取扱主任者制度」を運用している。
金融庁「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」に基づく個人情報の安全管理措置に関する外部監査を実施。
Three major credit reporting agencies
NCUA 米国クレジットユニオン協会
9875CUs 8424万人 総資産残高6179億ドル 6257万ドル/組合
The current NCUA's Ombudsman is Carol Bullock. She may be contacted at 1775 Duke Street, Alexandria, VA 22314-3428. Telephone is 703-518-6510
<資料>「米国クレジットユニオンの経営戦略」、主任研究員 永井敏彦、農林金融2004・4
ACCIS - Association of Consumer Credit Information Suppliers
1990年Dublinに設立されたヨーロッパの個人信用情報産業協会。ヨーロッパ18カ国の消費者信用照会機関(Consumer Credit Reference Agencies)25の正会員とそれ以外の準会員(日本:CICとJIC)からなる。会員企業・団体の利益擁護団体で、政府機関に対する窓口としてData Protection DirectiveやConsumer Credit Directiveの遵守・レビューする役目も果たしている。EUROFINASやGlobal Consumer Credit Reporting Networkなどの通商組織と協力関係にある。
European Data Protection Supervisor
European Data Protection Supervisior
Austria
Datenschutzkommision
Belgium
Commissie voor de bescherming van de persoonlijke (Nederlandstalig)
Commission de la protection de la vie privee (Franstalig)
Canada
Privacy Commissioner
Information and Privacy Commissioner of British Columbia
Information and Privacy Commissioner, Ontario
Commission d'acces a l'information du Quebec
Continue reading "Data protection authorities in Europe and world wide" »
The European Commission’s Directive on Data Protection went into effect in October, 1998, and would prohibit the transfer of personal data to non-European Union nations that do not meet the European "adequacy" standard for privacy protection. While the United States and the European Union share the goal of enhancing privacy protection for their citizens, the United States takes a different approach to privacy from that taken by the European Union. The United States uses a sectoral approach that relies on a mix of legislation, regulation, and self regulation. The European Union, however, relies on comprehensive legislation that, for example, requires creation of government data protection agencies, registration of data bases with those agencies, and in some instances prior approval before personal data processing may begin. As a result of these different privacy approaches, the Directive could have significantly hampered the ability of U.S. companies to engage in many trans-Atlantic transactions LINK
The Council of Better Business Bureaus (CBBB) - "Building Trust and Confidence in the Marketplace"
At a time when businesses are facing a crisis in public trust, the programs of the Council of Better Business Bureaus (CBBB) are more relevant than ever before. Since 1971, our partnership with American business continues to champion the idea that Good Ethics Is Good Business. Companies abiding by ethical business practices also do well in the marketplace.
個人情報の保護に関する法律
本人の意図しない個人情報の不正な流用や、個人情報を扱う事業者がずさんなデータ管理をしないように、一定数以上の個人情報を取り扱う事業者を対象に義務を課す法律のこと。2005年4月より全面施行される。以下の5つの原則から成り立つ。
・利用方法による制限(利用目的を本人に明示)
・適正な取得(利用目的の明示と本人の了解を得て取得)
・正確性の確保(常に正確な個人情報に保つ)
・安全性の確保(流出や盗難、紛失を防止する)
・透明性の確保(本人が閲覧可能なこと、本人に開示可能であること、
本人の申し出により訂正を加えること、
同意なき目的外利用は本人の申し出により停止できること)
