第8章. 業界のコンプライアンス基準とフレームワーク

企業は、様々な管理機関によって運営されている一つ以上の規制遵守体制に準拠することを求められる場合がある。これらの基準への準拠を怠ると、多額の罰金が課されたり、場合によってはビジネスの遂行に支障をきたすこともある（クレジットカード取引の処理ができなくなるなど）。フレームワークは、特定の業界やデータの種類に対して要求されるものではなく、ガイドラインのようなものであるという点で、規制コンプライアンス基準とは異なる。

ある規格または次の規格に準拠しなければならないという要件は、組織にいくつかの利点をもたらす。特定の規格には解釈の余地が大きく残されているため、実装すべきセキュリティ対策を同じ規格の一部に結びつけることができる。コンプライアンスが関係する場合、社会的、政治的、法的な要素を活用することで、 他の方法では不可能であったようなセキュリティ対策やプロセス変更を実装できる。また、プロジェクトの予算が余っている他の部門におんぶにだっこで対応することもできる。

基準もフレームワークも時間の経過とともに頻繁に変更されるため、この章では、それぞれがどのような用途に使われるのか、また、いくつかの "gotchas "について説明することに重点を置くことにする。なお、ここで取り上げるスタンダードの大半は米国のものである。

業界コンプライアンス基準

コンプライアンスリストの管理策を実装する際、ただ「チェックボックスにチェックを入れる」とい う安易な方法を取りたくなることがある。しかし、コンプライアンス基準は、せいぜい最低限のガイドであって、完全なセキュリティ基準ではない。技術的に標準に準拠していても、セキュリティで保護された環境でないことはあり得る。多くの標準は想像の余地を残しており、さまざまに解釈することができるが、一般的なベストプラクティスに従えば、副次的にコンプライアンスにつながるのが普通である。

なぜなら、規制基準の大半は、情報セキュリティの背後にある技術に基づくものではなく、より大きな問題に対する全体的な解決策を提供することを目的としているからである。例えば、HIPAA（このセクションで後述）は、デジタルであるか物理的であるかに かかわらず、患者と患者記録の安全性に重点を置いている。

家族教育権およびプライバシー法（FERPA）

FERPA は連邦法であり、 、公立・私立学校および高等教育における学生の教育記録のプライバシーを保護するものである。この法律は1974年に制定されたため、テクノロジーに関する具体的な情報がなく、要求される情報セキュリティの実践と保護に関して解釈の余地が大きい。この法律には、学生のPII、ディレクトリ情報、教育情報を第三者に公開、開示することを禁止していると解釈すべき文言が含まれている。

PIIは、教育機関が、開示される情報、開示の理由、および開示先を具体的に示す文書に、保護者または学生（18歳以上の場合）の署名を得た場合に限り、。

ディレクトリ情報とは、「学生の教育記録に含まれる情報のうち、一般化、開示されても有害またはプライバシーの侵害とはみなされない情報」と定義されている。例えば、名前、住所、電話番号、学生証番号などである。

教育記録とは、、「教育機関や教育機関、またはそのような機関や教育機関のために行動する者が保持する記録、ファイル、文書、その他の資料」と定義されている。これには、学生の成績証明書、GPA、成績、社会保障番号、学業および心理学的評価などが含まれる。 ...