米連邦取引委員会(FTC)は、1月27日、「モノのインターネット(IoT)」のプライバシーとセキュリティに関するスタッフ・レポートを発表した。
この中でFTCは、企業が収集するデータやその保管期間を最小限に抑えることを勧告。また、プライバシーやセキュリティについての具体的な法律を制定するのは時期尚早であるが、セキュリティやプライバシー保護、データ流出時の報告義務に関する全般的な法律は必要だとしている。
FTCは、収集データを最小限に抑えるために、全くデータを収集しない、サービスに必須のものだけ集める、慎重な取扱いを要さないデータを集める、収集したデータを匿名化するという選択肢を提示。
また、FTCは、データセキュリティに関するベストプラクティスとして、以下を勧告している。
- 機器設計段階からセキュリティを確保する措置を講じる。
- セキュリティの重要性について従業員を訓練し、適切なレベルのセキュリティを確保する。
- 外部サービス事業者を使う場合、それらの事業者が適切なセキュリティを維持できることを確認し、監督する。
- セキュリティ面でのリスクが発見された場合、複数層のセキュリティを設ける「ディフェンス・イン・デプス」対策を検討する。
- 消費者の機器、データ、個人情報へのアクセス権を持たないユーザーの不正アクセスを防ぐ対策を講じる。
- ネットワークに接続された機器を推定される寿命期間中監視し、判明したリスクに対応するセキュリティパッチを配布する。