消費者金融保護通達2022-04

消費者の機密情報に対するデータ保護やセキュリティが不十分

質問

データ保護や情報セキュリティが不十分な場合、企業は消費者金融保護法(CFPA)の不公正な行為や慣行の禁止に違反することができるか?

要約回答

はい。GLBA(Gramm-Leach-Bliley Act:グラム・リーチ・ブライリー法)の下で発行されたセーフガード規則を含む、金融機関のデータセキュリティを規定する他の連邦法に加え、「対象者」および「サービスプロバイダー」は、CFPAの不公正な行為または慣行の禁止を遵守しなければなりません。会社によって収集、処理、維持、保管される消費者の機密情報のセキュリティが不十分な場合、12 U.S.C. 5536(a)(1)(B)に違反する不公正な慣行となり得ます。これらの要件はしばしば重複するが、両者は共存するものではない。

行為や慣行が不公正であるのは、合理的に回避できない、あるいは消費者や競争に対抗する利益によって相殺されない実質的な損害を引き起こす、あるいは引き起こす可能性がある場合である。 不十分な認証、パスワード管理、ソフトウェア・アップデートのポリシーや慣行は、消費者に合理的に回避できない実質的な損害を与える可能性が高く、金融機関は、消費者や競争に対する相殺利益に基づき、脆弱なデータ・セキュリティ慣行をうまく正当化できそうにない。 データ・セキュリティが不十分な場合、違反や侵入がなくても不公正な行為となりうる。