2022年9月22日、オプタス社に対するサイバー攻撃(オプタス・データ・ブリーチ)により、同社の顧客の機密情報が流出した。オプタスの加入者の氏名、生年月日、電子メールアドレス、運転免許証番号、ヘルスカード番号、パスポート番号などが漏洩した可能性がある。しかし 反マネーロンダリングおよびテロ資金供与対策法は電気通信サービス・プロバイダーには適用されない、 AUSTRAC-の規制下にある企業は、顧客の個人情報が開示された場合、マネーロンダリング、テロ資金調達、犯罪行為のリスクが高まる可能性がある。
オーストラリア政府は オプタスのデータ流出に関する文書オーストラリア政府は、オプタスのデータ流出に関する文書を作成し、顧客の身元を保護するために政府がとっている措置について説明し、影響を受けたオプタスの顧客に対するアドバイスを提供した。
AUSTRAC法の対象となる企業への影響
電子的な顧客 ID 確認を実施する場合、報告主体は、マネーロンダリング、テロ資金、およびそ の他の重大犯罪のリスク増大の可能性を考慮し、データ侵害の影響について慎重になるべきである。
AUSTRACは報告企業に対し、特に新規顧客を獲得する際や、個人を特定できる情報(PII)が漏洩した可能性のある現顧客に注意を払う際に、ID窃盗のリスク増大に対処するための保護措置を講じることを考えるよう助言している。報告企業が導入するシステムや管理は、二要素認証の要件のように、顧客の口座への不正アクセスを妨害する仕組みで構成されるかもしれないが、これに限定されるものではない。
リスクベースにおいてのみ、報告企業は現在の顧客の識別を再検証することが求められる。一般的には、報告主体 のAML/CTFプログラムに従い、継続的な顧客デューディリジェンス措置を適用し続けること で十分である。 AMLCTF AMLプログラム報告主体がデータ漏洩前に顧客の本人確認を行い、顧客が本人であると主張する人物であるこ とに確信が持てる場合。
ただし、報告企業は、顧客が本人でないと信じるに足る理由がある場合、または顧客の識別ま たは確認に以前使用した文書または情報の正確性または十分性に懸念がある場合は、顧客の本人確認 を再度行う必要がある。 顧客の本人確認.報告組織は、顧客に指定サービスを提供する前に、まず顧客が本人であるという合理的な確証を 得なければならない。
個人情報漏えいの報告
報告主体は、個人が本人でないと主張する、または犯罪の被害者(詐欺または盗難文書を含む)であるという合理的な疑いがある場合を含め、顧客または取引が犯罪捜査に重要である可能性があると判断した場合、AUSTRACに疑わしい事項報告書(SMR)を提出することが義務付けられています。AUSTRACは、報告主体がデータ侵害に関する疑わしい事項報告書(SMR)およびその他の報告書を送付する際に、参照番号「FA43407」を使用するよう求めている。
NameScanはどのように役立つのですか?
今回のデータ漏洩は、コンプライアンスの重要性と、データ保護、可用性、完全性を維持することがビジネスに求められる理由を浮き彫りにした。
この目標を達成するために、NameScanは以下を提供します。 完全な従量制リスク管理ソリューションを提供しています。その 本人確認IDVおよびKnow Your CustomerKYC)ソリューションは、企業のデジタル活動の安全確保に役立ちます。
NameScanは、金融・保険業界、法曹界、会計業界、不動産業界など、規制の厳しい業界の専門プロバイダーとして、最も厳しいデータ保護およびコンプライアンス要件を満たしています。 当社チームへのお問い合わせにお問い合わせください。
0 コメント