システム管理者が知っておくべき合法的な落とし穴は何ですか？

あなたやあなたの雇用主が過失やプライバシー侵害などで告発されるのを避けるために、システム管理者としてどのような法的問題を調査すべきですか？

法律は国や国によって異なりますが、あなたやあなたが知っている誰かが気づかずに破った法律の例を持っているなら、それはまだ啓発的かもしれません。

それはあなたがどの業界にいるかのようないくつかの点で大きく異なります（以下は米国のみに適用されます）...

• ヘルスケア：HIPAA
• 教育： FERPA
• あなたの会社がSECと取引されている場合：Sarbanes Oxley
• 会社でクレジットカードトランザクションを行っている場合-PCI DSS

私が働いた小さな仕事の多くは、CC DS情報をプレーンテキストで一般公開されているデータベースサーバーに保存するPCI DSSについてはかなり悪いものでした。

以下は米国にのみ適用されます。

CIPA：子供のインターネット保護法

特に州または連邦の教育機関で雇用されている場合：http : //www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA：情報公開法

再び政府機関に雇用されている場合：http : //www.fcc.gov/foia/

FERPA：家庭教育の権利とプライバシーに関する法律

教育：http : //www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

ネットワーク分析と侵入検知の法的側面に注意してください。nmapセキュリティの（悪意のない）目的でシステムに侵入しようとする場合と同様に、一部の場所では、不正使用が犯罪と見なされる場合があります。

エンドユーザー（それらを扱う場合）とサーバーおよび他のシステム管理者の両方のソフトウェアライセンスの問題に注意してください。海賊版ソフトウェアをビジネスサーバーで実行することを選択した場合に起こりうる影響を把握してください。

現地法、州法、連邦法に基づいて、事業所のプライバシー法に注意してください。あなたがどんな情報を保存しているかを知ってください。また、法的条件および会社のガイドラインで定められているように、あなたがどのような情報を見ることが許可されていないかを知ってください。

一方、事業所の情報保持法に注意してください。保持する必要のある情報、保持する必要のある期間、要求時に誰に漏らす必要があるかを把握します。プライバシーと規制の遵守との間の境界線を引くことができます（そして、どちらに立ち向かうべきかを知っています）。

私は英国にいますが、平均的なeコマースビジネスにとって最も重要な法律は次のとおりです。

• データ保護法
• 遠隔販売規制および取引説明法
• 会社法の特定の部分は-たとえば、あなたが持っているあなたが販売何もしない場合でも、ビジネスのウェブサイトにご登録会社番号とアドレスを持っています。私はそれが何度も壊れているのを見てきました。
• PCIコンプライアンス（法律ではなく重要）

この質問に答えられるのは、実際にあなたがどこにいるかを教えてくれた場合だけです。

個人的には、SysAdminはデータの各ビットを担当する人物であると考えています。したがって、データが失われたり、公開されたり、悪用されたりした場合に最大のリスクがあります地球上でデータが会社から流出する理由を説明する必要があります）。

私は個人的にそれを確認します：

• 必要に応じて、各情報にアクセスできます（すべて、結局、私はたわごとがヒットしたときにファンの反対側に立っています）
• これを上司に伝えます
• 上司に許可なく何にもアクセスしないことを伝えます
• データアクセスリクエストに満足できない場合、私とリクエスタを見るために別のパーティを要求することを上司に伝えます
• 上記のすべてに書面で署名し、封印したい

私が確認する他のこと：

• すべてを聞く
• すべて見る
• 何も話さない

これらのポイントは、ファイルやそのようなものを覗き見することではなく、同僚や同僚と定期的にチャットし、さまざまな部分をまとめようとすることです。

何も話さないことは、特定の時点からチャットに参加しないことを意味します。人々は、パスワードの紛失、復元するファイルなどについてのリクエストで定期的に私に来ます。それは、さもなければ一生懸命働く人々についての一定の意見に戻るかもしれない、私はそれを望んでいない。

• 私の上司と私は同意したものについてみんなに伝えます

これは、人から人への会話、会社のメール、またはすべてのデータにアクセスできる会社が社内にいることを親しみのあるリマインダーで知らせるポスターの観点から行うことができます。

これらは法律の同僚の正確な例ではなく、私はつまずいた。しかし、それは「何も語らない」が登場する部分です。例を失望させてすみません。

データ保護法。あなたの雇用主のAUP-それを裏返しに知ってください-それはあなたにも適用されます！

データ侵害が発生した場合、PII（個人を特定できる情報）に関するさまざまな州法があります。カリフォルニア州1386では、データ侵害（情報の侵害）の影響を受けたすべての人に通知する必要があります。他の多くの州にも同様の規定があります。

また、厳密に法的要件ではないPCI-DSSの明確化として、カードブランド（MasterCard、Visa、Discover、AmEx）は、加盟店がベンダーにPCI-DSSを順守することを要求することを販売銀行に要求しています。PCIに違反した場合、法的に訴追されることはありませんが、違反している間は、販売銀行から1日あたり数千ドル（またはそれ以上）の罰金を科せられます。コンプライアンスを遵守しないと、最終的にクレジットカード取引を行うことができなくなります。これは、ほとんどのオンライン小売業者にとって致命的なキスになります。

クレジットカードを使用するお客様向けのPCI DSS、およびログを有効にするたびに、将来これらのログを作成する必要が生じる可能性があります。何も記録しない方が良い場合もあります。

電子情報開示は大きな「落とし穴」です。これらは、訴訟の際に電子情報を保存し、それを他の当事者が利用できるようにするための米国の要件です。

システム管理者は、会社が最初に訴えられる前に会社の弁護士と時間を過ごす必要があります。そうすることで、必要に応じてこれらの要件を順守する計画を立てることができます。訴訟が発生してすぐに会社をひどく傷つけた場合（そうでなければ失われなかったかもしれない訴訟を失うことを含む）に、必要なすべての電子記録を（適切な方法で）保存しないこと。

ポリシングまたはクラウンカウンシル環境では、デジタル証拠を取り扱う際に注意する必要があります。最後にしたいことは、何らかのメディアをある形式から別の形式に変換するのを手伝うだけであったときに、法廷で証言することを要求されることです。