(完全発効日:2018年2月15日) 企業 / 個人データを処理するニューヨーク州のすべての組織に適用され、180 日の導入期間をもって 2018 年 2 月に実施されます。

NYDFS - 23 NYCRR 500:留意すべき重要な5つの領域:

確実に準拠すべき主な分野トップ 5:

  1. 機密データは、送信中と停止中の両方で暗号化します。(セクション500.15非公開情報の暗号化)
  2. 最高情報セキュリティ責任者 (CISO) の指名
  3. サイバーセキュリティシステムの確立
  4. サイバーセキュリティポリシーの採用
  5. サードパーティのサービスプロバイダーの管理
    • 求められる内容:
      • 毎年の侵入テストtests
      • 半期毎の脆弱性評価
New York State Seal

違反状態に対する罰則について

新しいDFSスキームにより、企業の役員はNY DFS規則への遵守を毎年認定する必要があります。

  • これらの認定が間違っていると判明した場合、企業はDFSまたは消費者に、そのような認定に違反した銀行、保険業者およびその他の金融サービス会社に対する請求を行うための基礎を提供することができます。この提案は、法律を含む「適用される法の下で」その要件が強制されることを提示しています。:
    • 例:ニューヨーク銀行法、ニューヨーク保険法
    • これには、DFS に対する内部で行った虚偽の記載に対する民事罰および刑事罰が含まれます
違反状態に対する罰則について

認識すべき事項

強調

  • NIST 標準由来
  • 包括的提案では、銀行、保険会社、その他の金融サービス企業は、データの移動時および保存時の両方の保護に対して厳しい責任が問われます。
  • この提案は、組織に極秘データを移動時および保存時の両方で暗号化することを要求します
  • ウォールストリートおよび資産が 2 兆 9000 億米ドル以上の約 1900 企業に影響を与えます
  • 違反の責任を負い、自覚と、役員会に上げるアクションプランを持たなければならない人物を規制します
  • 企業は、基準を定義し、インシデントの応答ポリシーを持ち、金融機関とのビジネスを行うための最小標準によりベンダー管理を更新する必要があります

データ暗号化処理

  • KingstonとIronKeyの暗号化USBドライブは、データ暗号化のコンプライアンスを標準化するためのソリューションの1つです。
  • この提案は、組織に極秘データを移動時および保存時の両方で暗号化することを要求します。(セクション500.15非公開情報の暗号化)
    • セクション 500.15 非公開情報の暗号化
      • (a)サイバーセキュリティプログラムの一環として、リスクアセスメントに基づき、各対象事業者は、外部ネットワーク経由での通信中および休止中の両方で、対象事業者が保有する非公開情報を保護するための、暗号化を含む制御を実施しなければなりません。
  • 個人識別情報を処理または保持する組織は、個人データの損失を防ぐために適切なセキュリティを講じることが義務付けられます。
  • 組織は、これらの強化されたデータ暗号化標準をサードパーティのサービスプロバイダーとの契約に含めることが求められます。(セクション500.11 サードパーティのサービスプロバイダーのセキュリティポリシー)
    • 多数のサービスプロバイダーを持つ組織は、各サービスプロバイダーが暗号化要件を順守していることを確認するために対策を講じなければなりません。
      • セクション 500.11 サードパーティのサービスプロバイダーのセキュリティポリシー
        • (2)通信中および休止中の非公開情報保護のための、セクション500.15で要求される、サードパーティのサービスプロバイダーの暗号化使用に関する方針と手順;

ビジネスへの影響

  • ニューヨーク市内の銀行、保険およびその他の金融サービス業におけるビジネス、あるいはそれらの業界企業にサービスを提供、またはベンダーとして受託契約を結んでいる場合は、これらの規則に従い、その対象となる必要があります。
  • また、情報のセキュリティおよびデータストレージ暗号化に関する適切なシステムの構築において、規制および規則を遵守する必要もあります。
  • 個人識別情報を処理または保持する組織は、個人データの損失を防ぐために適切なセキュリティ措置を講じることが義務付けられます。

ビジネスに必要な準拠事項

  • データを保存する内部/外部製品/デバイスをマッピングします。
    データセキュリティポリシーの下で対象となり、データ暗号化が確実に利用されるために使用される企業の設備を記録し、義務付けます。品目は、サーバー、ハードドライブ、SSD、USB フラッシュドライブ、コンピューターおよびモバイルデバイスなどですが、それらに限定されません。
  • インベントリ分析
    個人データの総量を全体として評価します。
  • パージ
    不要な個人識別情報 (PII) のアーカイブを除去します。
  • 情報の管理者
    プライバシーリスクおよび影響の評価をレビューします。
  • 契約
    2018 年 2 月の施行開始日後に義務化されるポリシーを、今、制定することでビジネスの陳腐化を防ぎます
  • データ違反
    規制では、72 時間以内の通知が求められます。

ソリューション- - 個人データ/個人識別情報 (PII) のデータ暗号化など、適切なセーフガード、技術標準、およびポリシーを実施し、違反のリスクを軽減します。 詳細

違反の通知

データ違反の通知は、違反を知ってから、可能な場合は 72 時間以内に実行されなければなりません。ただし、個人の権利または自由に対しリスクとなる可能性がない場合は、DPA への通知を行う必要はありません。

消費者の権利

個人識別情報 (PII) について

個人識別情報 (PII) あるいは取り扱いに注意すべき個人情報 (SPI) は、米国のプライバシー法および情報セキュリティで用いられているように、それ自体で、あるいは他の情報とともに、1 人の個人を識別、接触、またはその場所を見つけるために、あるいは状況に応じて個人を識別するために使用することが可能な情報です。

  • NIST特別パブリケーション800-122[4] は PII を次のように定義しています。「(1)氏名、社会保障番号、生年月日、出生地、母親の旧姓、バイオメトリック記録など、個人の身元を識別するために使用することができるあらゆる情報; (2)医療、教育、財務、雇用に関する情報など、個人にリンクされている、またはリンク可能なその他の情報」(詳細は:https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
消費者の権利

サイバーセキュリティポリシー

(「財務サービス企業に対するサービスセキュリティ要項」文書より:https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf

各対象事業者は、高官または対象事業者の取締役会(またはその適切な委員会)、または同等の管理機関によって承認された、これらの情報システムに格納されている情報システムおよび非公開情報を保護するための対象事業者の方針および手順を定めた書面による方針または方針を実施および維持しなければなりません。

CyberSecurity

(a) 情報セキュリティ
(b) データガバナンスと分類
(c) 資産在庫とデバイス管理
(d) アクセス制御と身分証明管理
(e) ビジネス継続性と災害復旧計画およびリソース
(f) システム運用と可用性に関する懸念
(g) システムとネットワークセキュリティ
(h) システムとネットワーク監視
(i) systeシステムおよびアプリケーション開発と品質保証
(j) 物理的セキュリティと環境管理
(k) 顧客データのプライバシー
(l) ベンダーとサードパーティのサービスプロバイダの管理
(m) リスクアセスメント
(n) インシデント対応

ニューヨーク州のサイバーセキュリティ規制の重要期日 (23 NYCRR Part 500)

  • 2017年3月1日 - 23 NYCRR Part 500発効
  • 2017年8月28日 - 180日間の移行期間終了対象事業者は、特に明記しない限り、NYCRR Part 500の要件に準拠している必要があります。
  • 2018年2月15日 -対象事業者は、この日より前に23 NYCRR 500.17(b)により最初の証明書を提出する必要があります。
  • 2018年3月1日 - 1年の移行期間終了対象事業者は23 NYCRR Part 500のセクション500.04(b), 500.05, 500.09, 500.12 , 500.14(b)の要件に準拠している必要があります。
  • 2018年9月3日 - 18ヶ月の移行期間終了対象事業者は23 NYCRR Part 500のセクション500.06, 500.08, 500.13, 500.14(a), 500.15の要件に準拠している必要があります。
  • 2019年3月1日 - 2年間の移行期間終了対象事業者は23 NYCRR 500.11の要件に準拠している必要があります。