レッドフラグルールとは
Red Flags Ruleは、米国連邦取引委員会(FTC)によって開発された個人情報盗難防止スキームです。 規則の下では、金融機関と債権者と見なされる可能性のある人々または企業は、個人情報の盗難を特定して防止するための一連の手順を実行する必要があります。 レッドフラッグルールの目的は、個人情報の盗難に対処するためのシステムを身元情報および個人の財務記録を所有する人々に要求することにより、消費者の安全を保護することです。
Red Flagsルールでは、ルールの対象者が個人情報の盗難を処理するためのプログラムを作成する必要があります。 会社は汎用テンプレートを使用するか、独自のテンプレートを開発できます。 プログラムには4つのコンポーネントが必要です。 1つは、誰かが個人情報の盗難を犯そうとしていることを示す可能性のある危険信号、アクティビティ、またはイベントの識別です。 これらはビジネスや業界によって異なる場合があります。 会社は、これらの危険信号を検出するための計画も用意する必要があります。
危険信号の例には、疑わしいドキュメント、異常なアカウントアクティビティ、アカウントのクエリ、信用調査機関からの警告などがあります。 誰かが医療保険を取得するために偽造保険情報を使用しているという証拠や、サービスを注文する前に家や車の所有権を証明できないなど、特定のビジネスに固有の懸念があるかもしれません。
個人情報の盗難の疑いがある場合に会社が迅速に対応し、明らかな抜け穴を塞ぐようにするために、予防および行動計画はレッドフラッグ規則に基づくプログラムの一部でなければなりません。 最後に、会社は計画の更新に取り組む必要があります。 更新には新しい情報とポリシーを含める必要があり、定期的に更新する必要があります。 これは、企業が個人情報の盗難の問題に対応しており、それらに対処する計画があることを示しています。
銀行や信用組合などの金融機関を識別するのは簡単ですが、どの種類の債権者がレッドフラッグルールの対象となるのかを判断するのはやや複雑です。 ルールは、クレジットでサービスを提供したり、支払いプランを受け入れたりする獣医などの人々を対象としています。 後でサービスの支払いを許可するほとんどの企業は、事実に基づいて請求を行う公益事業から顧客に請求書を送る会計士に至るまで、債権者として分類できます。 業界のロビイストが、中小企業、特に自営業者によって運営されている企業にとってコンプライアンスは難しいだろうと主張したため、レッドフラッグスルールの適用範囲は、施行のいくつかの遅延につながりました。