Thales banner

データセキュリティにおけるNAICデータセキュリティ法の遵守

Thalesのソリューションは、NAICデータセキュリティ法の遵守をどのようにサポートするか

NAICデータセキュリティ法

南北アメリカ

全米保険委員会(NAIC)データセキュリティ法は、州保険局の認可を受けている保険会社とその他の事業体に対し、i)情報セキュリティプログラムの策定、実施、維持、ii)サイバーセキュリティイベントの調査、iii)かかるイベントの州保険委員会への通知を義務付けています。NAICのモデル法は、保険会社を規制する州レベルの法律の青写真を提供している。同法の主な推奨事項は以下の通りです:

  • 情報セキュリティプログラムを書面で策定する
  • 情報セキュリティにおける責任を割り当てる
  • リスク評価を定期的に実施する
  • サイバーセキュリティ上の主な安全対策を講じる
  • インシデント対応計画と手順を準備する
  • プログラムの状況を定期的に監視し、報告する
  • サービスプロバイダーを監督する
  • 取締役会レベルの監督を行う

NAICデータセキュリティ法の対象企業

この法律は、各州の保険局の免許取得者に適用されます。これには(一部の例外を除き)保険業界の会社、代理店、公的アジャスター、仲介業者が含まれます。

NAICデータセキュリティ法の施行時期

全米保険監督官協会(NAIC)は2017年第4四半期に、データセキュリティ法を正式に採択しました。2023年5月現在、次の22州がこの法律を制定しています:アラバマ州、アラスカ州、コネチカット州、デラウェア州、ハワイ州、インディアナ州、アイオワ州、ケンタッキー州、ルイジアナ州、メイン州、メリーランド州、ミシガン州、ミネソタ州、ミシシッピ州、ニューハンプシャー州、ノースダコタ州、オハイオ州、サウスカロライナ州、テネシー州、バーモント州、バージニア州、ウィスコンシン州。

NAICデータセキュリティ法への違反に対する罰則

NAICデータセキュリティ法に違反した場合の罰則の目安は、違反1件につき最高500ドル(最高1万ドルまで)です。保険会社/保険プロデューサーが検査官の停止命令に従わない場合に提案される罰則は、違反1件につき最高1万ドル(最高50,000ドル)です。これらの施設に所属する個人は、違反1件につき最高1万ドルの罰金を科されるほか、最高5年の禁固刑を言い渡される場合もあります。

Thalesのソリューションは、NAICデータセキュリティ法の遵守をどのようにサポートできるか

Thalesは、全米保険監督官協会(NAIC)が義務付けている情報セキュリティプログラムのリスク管理要件に対応することで、NAICデータセキュリティ法の遵守をサポートします。

NAICデータセキュリティ法 セクション4:情報セキュリティプログラム

ライセンシーは、非公開情報およびライセンシーの情報システムを保護するための管理上、技術上、物理的なセーフガードを含む情報セキュリティプログラムを開発、実施、維持するものとします。

Thalesは、以下によって、組織をサポートします:

  • 第三者リスクの低減
  • センシティブデータと情報システムへのアクセス制御
  • センシティブデータの特定と管理
  • 保存中・移動中データの暗号化
  • アプリ開発の安全な保護
  • 多要素認証の導入
  • モニタリングと監査
  • 非公開情報の安全に保護された廃棄

NAICによる要件:

パートD. 1:

「第三者サービスプロバイダーの使用を含み...特定されたリスクを軽減するために情報セキュリティプログラムを設計する。」

Thalesのソリューション:

CipherTrust Cloud Key Manager(クラウド鍵管理)では、「BYOK(Bring Your Own Key)」システム下でサードパーティのクラウドプロバイダーがホストするセンシティブデータを保護する鍵を、金融機関の完全な管理下のオンプレミスに維持することによって、サードパーティのリスクを軽減することができます。

CipherTrust Transparent Encryption(透過的暗号化)は、管理ロールの完全な分離を実現し、許可されているユーザーおよびプロセスのみが非暗号化データを閲覧できるようにします。データにアクセスする正当な理由が示されない限り、サードパーティのクラウドに保存されたセンシティブデータに権限のないユーザーが平文でアクセスすることはできません。

Thales Data Security(データセキュリティ)ソリューションは、最も総合的なデータ保護を提供します。これには、内蔵された高度な可用性を提供するThales Data Protection on Demand(DPoD)、クラウドベースのLuna Cloud HSMおよびCipherTrust Key Managementサービスへのバックアップ、ゼロ化オプションを提供するHSEネットワーク暗号化アプライアンスなどがあります。

パートD. 2, a:

「情報システムにアクセス制御を導入し、...非公開情報の不正取得を防止する。」

Thales OneWelcome Identity & Access Managementは、ロールとコンテキストに基づき、組織内外のユーザーによるアクセスを制限します。強力な多要素認証に支えられたきめ細かなアクセスポリシーと承認ポリシーによって、適切なユーザーが適切なリソースに適切なタイミングでアクセスできることを確実にする一方、不正アクセスリスクを最小限に抑えます。

Thales OneWelcome Consent & Preference Management(同意・設定管理)モジュールによって、金融機関が同意されたデータを明確に可視化できるように、企業が最終消費者の同意を収集したり、利用許可を得ているデータへのアクセスを管理したりすることが可能になります。

CipherTrust Transparent Encryption(透過的暗号化)は、センシティブデータを暗号化し、ユーザー、プロセス、ファイルタイプ、時間帯、その他のパラメーターによる適用が可能な、より細かい特権ユーザーアクセス管理ポリシーを実施します。 また、ロールの完全分離を実現し、許可されているユーザーおよびプロセスのみが非暗号化データを閲覧できるようにします。

パートD. 2, b:

「組織が事業目的を達成できるようにする...データを特定し、管理する。」

CipherTrust Data Discovery and Classification(データディスカバリーおよび分類)は、オンプレミスおよびクラウドにおいて、構造化および非構造化センシティブデータを特定します。内蔵テンプレートは、規制されたデータの迅速な特定、サイバーセキュリティリスクの強調、コンプライアンスギャップの発見を可能にします。

パートD. 2, d:

「外部ネットワーク経由で送信中のすべての非公開情報と、ノートパソコンやその他のポータブル型コンピューティングデバイス、ストレージデバイス、またはメディアに保存されているすべての非公開情報を、暗号化またはその他の適切な手段で保護する。」

保存データの保護:

CipherTrust Data Security Platform(データセキュリティプラットフォーム)は、ファイル、ボリューム、データベース内の保存データを保護する複数の機能を提供します。以下はその一例です:

  • CipherTrust Transparent Encryption(透過的暗号化)は、一元化された鍵管理と特権ユーザーアクセス制御によって、保存データの暗号化を提供します。これにより、データ保存先がオンプレミス、複数のクラウド間、ビッグデータ内、コンテナ環境のいずれであっても、データが保護されます。
  • CipherTrust Tokenization(トークン化)は、集計分析機能を維持しつつ、データベース内のセンシティブ情報の仮名化を可能にします。
  • CipherTrust Enterprise Key Management(鍵管理)は、さまざまなユースケースにおいて、クラウド環境およびエンタープライズ環境下の鍵管理を合理化かつ強化します。

鍵と証明書の保護:

Luna Hardware Security Modules(HSM)は、暗号鍵を保護するとともに、FIPS 140-2のレベル3に強化された耐タンパー性の環境を提供し、安全な暗号処理、鍵の生成と保護、暗号化などを実現します。Luna HSMは、オンプレミス、クラウド・アズ・ア・サービス、ハイブリッド環境で利用できます。

移動中データの保護:

Thales High Speed Encryptors(HSE)は、ネットワークに依存しない移動中データの暗号化(レイヤー2、3,4)を提供し、サイト間の移動またはオンプレミスとクラウド間の移動においてデータを確実に保護します。Thalesのネットワーク暗号化ソリューションによって、パフォーマンスに妥協することなく、データ、動画、音声、メタデータを盗聴、監視、公然または秘密裏の傍受からより良く保護することが可能です。

パートD. 2, e:

「社内開発アプリケーションのために、安全な開発手法を採用する...」

CipherTrust Platform Community Edition(コミュニティ版プラットフォーム)を使用すれば、DevSecOpsは、ハイブリットアプリケーションとマルチクラウドアプリケーションにデータ保護制御を簡単にデプロイできます。このソリューションには、CipherTrust Manager Community Edition、Data Protection Gateway、CipherTrust Transparent Encryption for Kubernetesのライセンスが含まれます。

CipherTrust Secrets Management(シークレット管理)は、最先端のシークレット管理ソリューションで、シークレット、クレデンシャル、証明書、APIキー、トークンなどのDevOpsツールとクラウドワークロード全体にわたり、秘匿情報へのアクセスを保護および自動化します。

パートD. 2、g:

「多要素認証を含む可能性のある、効果的なコントロール策を活用する...」

SafeNet Trusted Accessはクラウドベースのアクセス管理ソリューションで、サイバーセキュリティ上の保護のために、ハードウェアとソフトウェアの最も広範な認証方式とフォームファクターによって、市販の多要素認証を提供します。

パートD. 2、i:

「サイバーセキュリティイベントを検知して対応するために設計された情報セキュリティプログラム内での監査証跡を含める」

Thales Data Security Solutions(データセキュリティソリューション)は、いずれも広範なアクセスログを保持し、不正アクセスを防止します。特に、CipherTrust Transparent Encryption(透過的暗号化)セキュリティインテリジェンスログおよびレポートは、トップレベルのセキュリティ情報と外部のSIEMシステムを使用して、コンプライアンスレポーティングの合理化とサイバーセキュリティイベントへの対応迅速化を実現します。

さらに、CipherTrust Transparent Encryption Ransomware Protection (CTE-RWP)は、事業に必要不可欠なデータのホスト元ファイルにおける異常なI/Oアクティビティを、プロセス毎に監視します。これにより、管理者は、ランサムウェアがエンドポイントやサーバーに侵入する前に、不審な動きに対する警告/ブロックができます。CTE-RWP前にランサムウェアがインストールされていた場合でさえも、ランサムウェアを防御します。

SafeNet Trusted Accessは、すべてのシステムに対するあらゆるアクセスイベントを対象に即時かつ最新の監査証跡を提供することによって、組織がデータ侵害リスクに対応し、これを軽減することを可能にします。

パートD. 2, k:

「任意の形式の非公開情報を安全に廃棄するための手順を策定し、実施し、維持すること。」

CipherTrust Data Security Platform(データセキュリティプラットフォーム)は、暗号化とトークン化のソリューションで、データの暗号化と復号化に暗号鍵を使用します。すなわち、該当データの暗号鍵を破壊するだけで、データを選択的に「破壊」することができます。

関連リソース

Data Security Solutions for NAIC Compliance - Solution Brief

Data Security Solutions for NAIC Compliance - Solution Brief

Discover how Thales solutions support NAIC compliance with data security measures like encryption, identity management, and audit trails for insurance providers.  The National Association of Insurance Commissioners (NAIC) Data Security Law (Model Law) requires insurers...

Compliance Requirements for American Financial Services Organizations

Compliance Requirements for American Financial Services Organizations - eBook

This eBook covers some of the most important regulations affecting Financial Services organizations in the United States and how Thales cybersecurity solutions help meet requirements for risk management, data privacy, access management and much more. Included regulations:...

その他の主要なデータ保護とセキュリティ規制

GDPR

規制
アクティブ ナウ

これまでで最も包括的なデータプライバシー基準とされるGDPRは、組織がどこの国にあろうとも、EU市民の個人データを保持する全ての組織に対応を求められます。

PCI DSS

必須
アクティブ ナウ

クレジットカード及びデビットカードの決済処理事業者は、アカウントデータの処理、保存および送信に関する厳格なPCIDSSコンプライアンス要件に準拠する必要があります。

データ漏えい通知法

規制
アクティブ ナウ

個人情報漏えいが発生した場合に、データ侵害報告義務の要件は、世界中の国々によって制定されています。それは管轄国で違いはありますが、ほぼ全てに「セーフハーバー」条項が含まれています。