米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認
こんにちは、丸山満彦です。
米国の財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社が共同でコンピューターセキュリティインシデント通知についての最終規則の承認していますね。。。
銀行組織が「通知インシデント」のレベルに達した「コンピュータ・セキュリティインシデント」について、銀行組織が通知インシデントが発生したと判断した後、可能な限り早急に、遅くとも36時間以内に、主要な連邦規制当局に通知することを義務付ける最終規則を発行するとしています。
また、最終規則では、銀行サービス提供者が、4時間以上にわたって重大なサービスの中断または劣化を引き起こした、または引き起こす可能性が合理的に高いコンピュータ・セキュリティ・インシデントであると判断した場合、影響を受ける銀行組織の各顧客に可能な限り早く通知することを求めてていますね。。。
他社が同様の被害を受けないようにするためにするための情報共有は重要だと思います。
規則は、2022.04.01に施行され、2022.05.01に遵守が求められますね。。。
財務省通貨監督庁
● DEPARTMENT OF THE TREASURY Office of the Comptroller of the Currency: OCC
・2021.11.18 Agencies Approve Final Rule Requiring Computer-Security Incident Notification
・[PDF]
連邦準備制度
・2021.11.18 Agencies approve final rule requiring computer-security incident notification
・[PDF]
連邦預金保険公社
● FEDERAL DEPOSIT INSURANCE CORPORATION: FDIC
・2021.11.18 Agencies Approve Final Rule Requiring Computer-Security Incident Notification
・[PDF]
SUMMARY: The OCC, Board, and FDIC are issuing a final rule that requires a banking organization to notify its primary federal regulator of any “computer-security incident” that rises to the level of a “notification incident,” as soon as possible and no later than 36 hours after the banking organization determines that a notification incident has occurred. The final rule also requires a bank service provider to notify each affected banking organization customer as soon as possible when the bank service provider determines that it has experienced a computer-security incident that has caused, or is reasonably likely to cause, a material service disruption or degradation for four or more hours. | サマリー:財務省通貨監督庁、連邦準備制度理事会、連邦預金保険公社は、銀行組織が「通知インシデント」のレベルに達した「コンピュータ・セキュリティインシデント」について、銀行組織が通知インシデントが発生したと判断した後、可能な限り早急に、遅くとも36時間以内に、主要な連邦規制当局に通知することを義務付ける最終規則を発行する。また、最終規則では、銀行サービス提供者が、4時間以上にわたって重大なサービスの中断または稼働低下を引き起こした、または引き起こす可能性が合理的に高いコンピュータ・セキュリティ・インシデントを経験したと判断した場合、影響を受ける銀行組織の各顧客に可能な限り早く通知することを求めてている。 |
その他、インシデント報告を法制化する話も出ていますね。。。
● まるちゃんの情報セキュリティきまぐれ日記
・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案
« 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15 | Main | ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表 »
Comments