2019年11月2日更新(2019年9月7日作成)
情報セキュリティに関する法律や規格、標準、ガイドライン等、様々なものがありますが、CISSPでは米国の法律に関する知識が必要となります。米国生まれ(?)の資格なので、必然ですかね。。
以下、GLBA, FISMA, EEAについて概要を整理します。
Gramm-Leach-Bliley Act (GLBA)
GLBA(グラム・リーチ・ブライリー法)は、1999年に制定された米国の連邦法で、この法律により金融機関の統合(銀行、証券、保険業務の兼業)が許可されています。・・・・・。
上記のような超ざっくり概要だけでは、CISSPとの関連性がさっぱりわからないですよね。。
実はGLBAには、金融機関の顧客が保有する財務情報のプライバシーに関する規制も規定されているそうです。
「金融機関+個人情報と来たらGLBA!」
とりあえずそう覚えておこうと思います。。。
Federal Information Security Management Act (FISMA)
FISMA(連邦情報セキュリティマネジメント法)は、連邦政府機関、および連邦政府機関の民間委託先に適用される法律で、情報や情報システムのセキュリティ強化が義務付けられています。2002年のFISMA成立に伴い、その前身と位置付けられるGISRA(Government Information Security Reform Act)が失効しているとのことで、FISMAとGISRAを混同しないようにしないといけないです。
「連邦政府(の委託先)と来たらFISMA!」
です。
EEA(Economic Espionage Act)
EEA(連邦経済スパイ法)は、営業秘密を保持している者に対し、知的財産の保護を求める法律です。米国企業から営業秘密を不正に外部に漏えい等させた場合、本法に基づき罰金や懲役刑が課されます。
Federal Sentencing Guideline
Federal Sentencing Guideline(連邦量刑ガイドライン)は、連邦法上の犯罪に対する量刑裁量の基準を明確化・公平化するために作成されたガイドラインです。1991年、情報セキュリティ関連の問題に対する”prudent man rule”が本ガイドラインに適用されました。
prudent man rule(善管注意義務)とは、経営者が常識的に払うべきデューケアのことです。
デューケアって何だっけ・・・?
一度勉強したのに脳みそに定着しない・・・(涙)
デューケアは、一言で言うと「やるべきことをやること」でしたね。。
上記内容を噛み砕くと
「1991年、経営者が情報セキュリティに関してやるべきことをやらなかった場合の量刑の基準(?)が連邦量刑ガイドラインに反映された」
ってことかな。。。うーん。
Digital Millennium Copyright Act (DMCA)
デジタルミレニアム著作権法です。ISPにおいて、著作権者から著作権違反に関するクレームがあった場合:
即座に対応すべきクレーム
・ISPが提供するストレージに格納された顧客の情報
・ISPによってキャッシュされた情報
・ISPが提供する検索エンジンでキャッシュされた情報
対応が免除されるクレーム
・ISPが提供するネットワーク上で送信される情報
※DMCAでは、ISPは顧客の一時的な活動に責任を負う必要はないと規定。
0 件のコメント:
コメントを投稿