定義
毎年、何百万人もの米国居住者が大学に出願し、授業を受けているため、教育システムはデータ侵害の絶好の標的となっています。ユーザー情報を保護するために、米国議会は1974年にFERPA(家族の教育の権利とプライバシーに関する法律 )を制定しました。教育機関は、社会保障番号や銀行口座など、重要な機密データを保管しています。データ侵害が発生した場合、FERPAはサイバーセキュリティを導入し、学生情報を保護するために必要な措置を講じなかったことに対する責任を追及します。FERPA規則に従わない場合は、連邦政府の資金援助が受けられなくなる可能性があります。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
FERPAの目的
コンプライアンス規制は、ユーザーデータの安全性を保つことを目的としており、FERPAは、学生データの保護に重点を置いています。学校のシステムには、個人を特定できる情報(PII)が保存されており、個人情報の盗難に使用される可能性があるため、FERPAは、この情報を保護しない教育機関に厳しい罰則を課しています。学校は堅牢なサイバーセキュリティを採用しなければ、政府からの重要な財政支援を失うリスクがあります。FERPAは、データプライバシーのベストプラクティスを組織に提供し、違反した場合は多額の罰金を科すことでその責任を追求します。
FERPAの規則
学生データの保護に加え、FERPAは、データ保護法に基づく学生の権利を明らかにすることを組織に求めています。学生は、自分の情報に対する透明性を確保し、PIIを他の機関や第三者に公開するなどの特定の慣行に同意する必要があります。
同意
学生はいつでも自分の教育記録を求めることができ、毎年その権利について説明される必要があります。適切な指導を受ければ、学生は自分の記録を見る権利を放棄することもできます。個人情報を公開する場合、管理者や学校関係者が情報提供する前に、学生は書面で同意しなければなりません。
トレーニング
FERPAは、教師、管理者、その他の学校関係者に対し、学生情報の開示に関するトレーニングを義務付けています。彼らは、FERPA規則と、許可されていない個人からデータを保護するために何ができるかを知っている必要があります。学生情報にアクセスできるサードパーティベンダーには、FERPAのコンプライアンスについて通知しなければなりません。
サイバーセキュリティ
学生のデジタルデータは、攻撃者の主要な標的です。教育機関は、サイバー犯罪者からデータを保護するためのベストプラクティスに従わなければなりません。データ侵害は、罰金や訴訟費用など、大きな損害となる可能性があります。ITにおけるFERPAを遵守するためのいくつかの要素をご紹介します。
- データの暗号化: すべてのデータは、保存時および転送時に暗号化される必要があります。つまり、物理的なデバイスに保存されているデータは、デバイスが盗まれたとしても開示されることはなく、インターネット経由で送信されるデータも保護されています。
- 脆弱性の検査と是正: 脆弱性スキャンは、データベースやクラウドストレージなど、データを保存するインフラの問題を見つけます。セキュリティコントロールとポリシーを定期的に見直しましょう。
- 監視と監査証跡: 外部からのデータ侵害や内部脅威を示唆する不審な動きがないか、すべてのシステムを監視しましょう。アプリケーションによっては、インフラがコンプライアンスに準拠しているかどうかを監視するものもあります。
- 継続的な更新とレビュー: コンプライアンスの基準は変化し、規制機関はシステムをアップデートするための期間を限定して提供します。FERPAの更新を認識し、変更を導入するための十分な時間を確保するため、毎年規則を見直しましょう。
FERPAの罰則
社会保障番号、連絡先、財務データなどの学生データを保存する組織は、FERPA規則に従わなければなりません。内部および一般にアクセス可能なシステムには、データ侵害を避けるために、適切なアクセス制御とサイバーセキュリティを導入する必要があります。大学、高校、小学校、専門学校は、FERPAのコンプライアンスに該当します。
FERPAを遵守しない場合、厳しい罰則が課され、組織の資金を失い、運営に壊滅的な打撃を与える可能性があります。
コンプライアンス違反に対する罰則には以下のようなものがあります。
- 連邦政府からの補助金の取り消し
- 州および連邦の関連法に基づく起訴
- 責任者や過失を特定するための、従業員の不正行為や業務慣行の調査
- データ侵害に責任のある従業員の解雇
- コンプライアンスを監督する管理職の一時的な活動停止
FERPAに準拠する方法
コンプライアンスの第一歩は、専門家が実施する完全なリスクアセスメントです。このリスクアセスメントでは、コンプライアンスに対応したインフラや、攻撃者の標的となりうるデータを分析します。その他、コンプライアンスに対応するための方法を以下にご紹介します。
- データが暗号化されていることを確認する: データには、保存データと転送中データがあります。保存データは、データベースに保存されている情報、またはドライブに保存されているファイルを指します。ウェブページからデータベースへ送信されているデータは、転送中データです。学生データは、転送中およびストレージデバイスに保存されているときに暗号化される必要があります。
- ファイアウォールを設置する: ファイアウォールは、外部のトラフィックがデータベースのような機密データ記憶装置に到達するのをブロックします。ファイアウォールは、FERPAに準拠するために必要なものであり、ネットワーク上のトラフィックを制御するための貴重なツールです。
- アクセス・コントロール・ポリシーを使用する: ネットワーク上のIT管理者は、データへのアクセスを許可されたユーザーだけに制限するために、構造化されたアクセス・コントロール・ポリシーを設定する必要があります。その他のデータについては、低特権ユーザーが読み取れないように検閲します。例えば、登録担当の管理者は、学生の社会保障番号をアプリケーションで表示する際に、番号全体を公開するのではなく、下4桁の番号のみを表示するようにします。
- マルウェア対策ソフトを導入する: サーバーやユーザーのコンピュータには、必ずウイルス対策ソフトやマルウェア対策ソフトをインストールします。これらのアプリケーションは、ランサムウェアのようなマルウェアがネットワーク上にインストールされるのを阻止します。
- データの収集と保存について、学生とコミュニケーションをとる: FERPAでは、教育機関が保存するデータについて学生が理解していることを求めており、教育機関が第三者にデータを開示する予定がある場合は、学生に通知する必要があります。