401(k) サイバーセキュリティに関する DOL 規則とは何ですか?
インターネット犯罪が増加し続ける中、金融アカウントをサイバー攻撃から安全に保つことがこれまで以上に重要になっています。 連邦捜査局は、2021 年にサイバー犯罪により被害者が被った損害は 69 億ドルに上ると推定しています。
持っている場合は、 401(k) または別の 退職所得保障法(ERISA)の対象となる制度, これらのアカウントは安全なのか疑問に思うかもしれません。 2021 年には、米国 労働省 (DOL) 計画スポンサーと参加者をサイバー攻撃から保護することを目的とした新しいサイバーセキュリティ ガイダンスを発行しました。
重要なポイント
- FBI のデータによると、2021 年にインターネット犯罪により被害者に生じた損害は 69 億ドルに上ります。
- サイバー犯罪攻撃の標的になることはそれほど多くありませんが、401(k) プランやその他の退職金口座は依然として詐欺やハッキングの影響を受けやすい可能性があります。
- 労働省は 2021 年に、計画スポンサー、受託者、記録保持者、計画参加者を対象とした新しいサイバー犯罪ガイドラインを制定しました。
- 職場で 401(k) プランを導入している場合、サイバー犯罪者から身を守るためにできることがいくつかあります。
401(k) 詐欺とサイバー犯罪について
サイバー犯罪というと、もっぱら銀行口座やクレジット カード口座に関係するものだと多くの人が考えているかもしれません。 たとえば、近年の注目を集めたハッキング報告の多くには、小売業者の POS システムからのデビット カード情報やクレジット カード情報の盗難が含まれています。 その他の一般的なタイプのサイバー犯罪には、電子メールやテキストメッセージが含まれます フィッシング オンラインまたはモバイル バンキングのログイン情報を盗むことを目的とした詐欺やマルウェア攻撃。
ただし、401(k) プランを含む退職金口座も標的にならないわけではありません。 詐欺師はさまざまな戦術を使って職場の計画をターゲットにし、従業員の退職金を使い果たします。 最も一般的なものの 1 つ 詐欺の種類 アカウントの乗っ取りが含まれます。 仕組みは次のとおりです。
- サイバー犯罪者は、フィッシング詐欺、マルウェア攻撃、またはその 2 つの組み合わせを通じて、個人の 401(k) プランのログイン情報にアクセスします。
- その情報を使用して従業員の 401(k) プランにログインし、連絡先の電話番号や住所、ログイン パスワードなどのアカウントの特定の詳細を変更します。
- これらの変更が気づかれないと仮定すると、詐欺師は 401(k) から外部にリンクされた口座への送金を開始したり、更新された住所に紙の小切手を郵送させたりすることができます。
アカウント乗っ取り詐欺は、次のような他の種類のアカウントでも発生する可能性があります。 個人退職金口座 (IRA)、課税対象の証券口座、銀行口座。
重要
銀行口座やクレジット カード口座には連邦政府による不正行為からの保護が適用されますが、通常は 401(k) プランやその他の退職金口座には適用されません。
DOL 401(k) サイバーセキュリティ ガイダンス
2021 年に労働省は、次のような新しいガイダンスを導入しました。 401(k) プランの保護に協力する およびサイバー詐欺に対するERISAが管理するその他の退職金制度。 このガイダンスは、プランのスポンサー、受託者、記録保持者、およびプランの参加者が 401(k) プランを個人情報の盗難やその他の種類のサイバー犯罪から守るのを支援するように設計されています。 このガイダンスは、サービス プロバイダーを雇用するためのヒント、サイバーセキュリティ プログラムのベスト プラクティス、オンライン セキュリティという 3 つの特定の領域に焦点を当てています。
企画スポンサー向けのご案内
新しい DOL 規則は次のことを奨励します 企画スポンサー 強力なサイバーセキュリティ慣行に従うサービスプロバイダーと連携すること。 具体的には、DOL は、プランのスポンサーがプロバイダーを精査する際に次のことを行うことを推奨しています。
- プロバイダーの情報セキュリティ標準、慣行、ポリシーについて質問し、他の金融機関が使用している業界標準と比較してください。
- 情報セキュリティに関して認知された基準に準拠しているプロバイダーを探してください。
- プロバイダーに、その実践をどのように検証しているか、どのレベルのセキュリティ標準が実装されているかを尋ねてください。
- 業界内でのプロバイダーの実績を評価し、プロバイダーが経験した可能性のある過去のセキュリティ侵害について尋ねます。
- プロバイダーが、プラン参加者のアカウントがハッキングされた状況など、サイバーセキュリティ上の損失をカバーする保険契約を締結しているかどうかを調査します。
- サービスプロバイダーとの契約には、サイバーセキュリティおよび情報セキュリティ標準への継続的な準拠が必要であることを確認してください。
プランのスポンサーは、要求に応じて、実施しているサイバーセキュリティ対策に関する情報を提供できる場合があります。
受託者および記録管理者のためのガイダンス
DOL の規則に基づく 401(k) プラン 受託者 また、記録管理者には、サイバーセキュリティのリスクを軽減するために自分の役割を果たしているかどうかを確認する責任もあります。 推奨されるベスト プラクティスのリストには次のものが含まれます。
- 十分に文書化された正式なサイバーセキュリティ プログラムを用意します。
- 慎重な方法で毎年リスク評価を実施します。
- セキュリティ管理に関する年次第三者監査をスケジュールします。
- 情報セキュリティの役割と責任を明確に定義して割り当てます。
- 強力なアクセス制御手順を導入します。
- クラウドに保存されている資産やデータ、またはサードパーティプロバイダーによって管理されている資産やデータが、適切なセキュリティレビューと評価の対象となるようにしてください。
- サイバーセキュリティ意識向上トレーニングを定期的に実施します。
- 安全なシステム開発ライフサイクル (SDLC) プログラムを実装および管理します。
- ビジネス継続性、災害復旧、インシデント対応に対処する効果的なビジネス回復力プログラムを作成します。
- 機密データは常に暗号化してください。
- セキュリティのベストプラクティスに沿った強力な技術的制御を実装します。
- 過去のサイバーセキュリティインシデントに適切に対応します。
プラン参加者へのご案内
DOL は、401(k) プランの参加者が自分のアカウントを安全に保つために役立つヒントも提供しています。 これらのヒントの多くは、保護するために奨励されている戦略と同じです。 オンラインバンキング 情報。 DOL が提案しているのは次のとおりです。
- 定期的にアカウントを監視し、身に覚えのない異常なアクティビティや取引がないか探してください。
- 強力で固有のパスワードを使用して退職アカウントにログインし、定期的に更新します。
- プランのスポンサーまたはサービサーが多要素認証を提供している場合は、多要素認証を設定します。
- アカウントにリストされている個人の連絡先情報は常に最新の状態に保ってください。
- 使用していない金融口座を閉じるか削除します。
- 金融口座にアクセスするために公衆 Wi-Fi を使用しないでください。
- フィッシング詐欺に注意してください。
- ウイルス対策ソフトウェアを使用してデバイスを保護し、定期的に更新してください。
ヒント
401(k) が侵害されたと思われる場合は、できるだけ早くプランのスポンサーに連絡して報告してください。 サイバー犯罪を FBI およびサイバーセキュリティ & インフラストラクチャ セキュリティ庁 (CISA) に報告することもできます。
401(k) はハッキングされる可能性がありますか?
A401(k) ハッキングされる可能性があります 誰かがあなたのユーザー ID とパスワードを含むあなたのアカウントのログイン情報にアクセスできる場合。 ハッカーは、アカウント乗っ取りとして知られる方法を使用して、銀行口座を使用するのと同じように、誰かの 401(k) プランから資金を吸い上げることができます。
401(k) が盗まれた場合はどうなりますか?
誰かがあなたの 401(k) または同様の職場の退職金プランからお金を不正に引き出したと思われる場合、最初のステップはプランのスポンサーに連絡することです。 彼らは次に何をすべきかアドバイスできるはずです。これには、適切な連邦当局への詐欺の報告が含まれる場合があります。 盗まれた 401(k) 資金を取り戻せるかどうかは、サイバー犯罪に対処するためのプランのスポンサーのポリシーに依存する可能性があります。
401(k) を保護するにはどうすればよいですか?
401(k) アカウントを保護する最善の方法には、ログインを共有せずに固有のパスワードを使用することが含まれます 知らない人と情報を共有し、アカウントにアクセスするときに公衆 Wi-Fi の使用を避ける オンライン。 また、アカウントに対する新しいアクティビティや変更を通知するアラートを設定することもできます。 潜在的なフィッシング詐欺を見分ける方法を学ぶ メールの受信箱に届く可能性があります。
結論
あなたは、退職後のために 401(k) にお金を寄付するために一生懸命働いていますが、それがサイバー犯罪者に盗まれることは絶対に避けたいことです。 残念な現実として、401(k) プランやその他の職場退職金制度は、他の種類の金融口座と同様にサイバー攻撃に対して脆弱である可能性があります。 DOL の新しい 401(k) サイバーセキュリティ ガイダンスは、これらのアカウントを保護するための正しい方向への一歩です。 勤勉さを維持し、口座を定期的に監視することで、退職後の貯蓄を安全に保つことができます。