コンテンツにスキップ

イラスト:

カジノサイト

マリファナ薬局の確保

ミーガン・ゲイツ著
2019 年 10 月 1 日

印刷問題:2019 年 10 月

ウルグアイが道を切り開いた。 2013年に、医療用と娯楽用の両方でマリファナを完全に合法化した最初の国となった。カナダも 2018 年にこれに続き、米国の州のパッチワークもこの運動に参加しました。

米国連邦政府によって依然としてスケジュール I 薬物とみなされているにもかかわらず、マリファナは 11 の州とワシントン DC で娯楽目的での使用が合法です。 15の州で非犯罪化。 33 の州で医療用途に合法です。

このため、現在、マリファナの使用を合法化している米国の州では、薬局が一般的になっています。そして、これらの薬局は州の規制を遵守し、営業を継続するために、さまざまなセキュリティ要件を満たす必要があります。

たとえば、医療および娯楽目的でのマリファナの使用を合法化したコロラド州では、薬局に対し、境界線のすべての入り口と境界線の窓に防犯警報システムと継続的な監視システムを設置することを義務付けています。インテリジェントなIPビデオ監視会社であるマーチ・ネットワークス社の大麻市場マネージャーのクリス・ジェンセン氏は、この監視システムには、取引中に何が起こっているかを捉えるために、各ドアから15~20フィート以内、施設の出入り口、すべての販売場所にカメラを設置する必要があると述べています。

「大麻が保管、包装、栽培されている場所はどこでも…その施設を完全にカバーする必要があります」とジェンセン氏は付け加えた。 「規制に準拠することが必ずしもセキュリティと同じであるとは限らず、優れたセキュリティが常に規制を満たしているとは限らないため、インテグレータとエンド ユーザーにとっては困難です。」

コロラド州によると、マリファナが栽培されている栽培センターも、権限のない個人が簡単にアクセスできないことを示すセキュリティ対策を講じる必要がある.

「コロラド州の主な規制順守は、発電所自体の詳細な追跡に基づいています」と、March Networks の戦略的パートナーシップおよび統合担当の Jeff Corrall 氏は述べています。

「すべての植物には RFID タグが必要です。すべての栽培施設は監視される必要があります。」
これは多くの場合、ネットワークに接続されたカメラやビデオ管理システムなどのセキュリティ テクノロジーを追加することを意味し、多くの従来型小売施設が直面する追加のサイバー脆弱性を導入します。

「小売業界全体で、サイバー犯罪者は、クレジット カード情報、個人識別情報 (PII)、さらには企業秘密や知的財産などの機密性の高い貴重なデータを攻撃することで同じ給料を求めています」と、クロールのサイバー リスク業務担当アソシエート マネージング ディレクターのマシュー ダン氏はホワイトペーパーで述べています。 「大麻小売業者は、自社が保有する切望されている顧客データだけでなく、特に魅力的な標的となっています。サイバー犯罪者は、大麻分野のような若くて急速に成長している業界で活動する企業を常に監視しています。大麻業界では、多くの小売業者が成熟したサイバーセキュリティ慣行をビジネスプロセスに組み込んでいません。」

ダンは以前、テネシー州ナッシュビルの FBI サイバー犯罪/対諜報部隊の監督特別捜査官を務めていました。その専門知識を活用して、彼はホワイトペーパーを書きました今年初め、大手コンサルティング会社クロール社の場合。

FBI とクロールでの仕事に基づいて、ダンは大麻産業がシステムや企業ネットワークにアクセスするための資格情報の盗難、ランサムウェア攻撃、情報収集などの従来のサイバー攻撃の標的であることを発見しました。調剤薬局は、調剤薬局に損害を与えたり、顧客に対する影響力を得るために利用できる種類のデータにアクセスできるため、特に有利な標的となります。

たとえば、悪意のある攻撃者が薬局のカメラ システムにアクセスした場合、そのカメラ システムを利用して顧客とマリファナの購入頻度を監視することができます。顧客が公開したくない情報である可能性があると、インシデント管理および対応会社 D3 のサイバーセキュリティ業務ディレクターである CISSP のスタン エンゲルブレヒト氏は述べています。

「通常、対面で行われる恐喝が、今では遠隔地から何の手段もなく実行できるようになりました」とエンゲルブレヒト氏は説明する。 「地球の裏側にいる人を追いかけるなんて、実際には不可能です。」

ロサンゼルスやワシントン D.C. など、知名度の高い顧客にサービスを提供する薬局は、顧客に対するこの種の攻撃の標的となる可能性があります。また、ネットワークが分割されていない場合、カメラ ネットワークにアクセスすると、悪意のある攻撃者が薬局が保管している顧客に関する追加の記録を入手する足がかりを与える可能性があります。

「この予期せぬネガティブなエクスポージャは、顧客の生活を脅かす可能性がある」とダン氏は書いた。 「大麻小売業者は、顧客が取引を行うために薬局に個人データを提供するときに期待する追加のプライバシーを考慮する必要があります。」

このリスクとプライバシーへの期待の高まりのため、2018年にマリファナを合法化したカナダは、主にデータ保護を中心とした薬局のセキュリティ規制に重点を置いています。

カナダの薬局は、データ侵害が発生した場合は報告し、顧客に関して保管しているデータを保護するための合理的な措置を講じ、収集する顧客データを制限することが義務付けられている、とトーキン・マネズのビジネス法務グループのパートナー、リサ・R・リフシッツ氏は述べています。

リフシッツ氏は、カナダ政府からの追加の指導と規制の可能性を期待していると述べたが、合法的な娯楽用大麻市場がまだ軌道に乗り始めているため、まだ発表されていないと付け加えた。

これが、薬局や栽培業者が今すぐ適切なサイバー衛生を導入し、サイバー脅威のリスクについて従業員を訓練し、セキュリティ技術が適切にインストールされていることを確認することが重要である理由です。

栽培者は特に、他の農業施設に対するリスクと同様に、モノのインターネットが自分たちの経営にもたらすリスクを認識する必要があります。

「多くの栽培作業では、インターネットからアクセスできる自動化された散水、温度、湿度制御システムと照明プログラムが利用されています」とダン氏は書いている。 「ビデオ監視に伴うものと同じ IoT の脆弱性が、これらのシステムにも存在します。たとえば、競合他社が脆弱なサイバーセキュリティ対策を通じてこれらの環境システムにアクセスできた場合、水を過剰に与えたり、気温を下げたり、照明を消したりして、事実上作物の不作を引き起こす可能性があります。」

これらのリスクのため、マリファナ薬局やマリファナ栽培業者は、カメラなどの IoT デバイスがローカル エリア ネットワーク上に設定され、ファイアウォールが設置され、デバイスに固有のユーザー名とパスワードが設定されていることを確認する必要があります。 Dunn 氏は、従業員にはビジネスに関連付けられたすべてのアカウントに対して 2 要素認証の使用を義務付ける必要があるとも付け加えています。

さらに、組織は、ネットワーク上で管理者権限を持つ人の数を制限する必要があります。そうすることで、暴露が制限されるからです。

「なぜなら、悪者があなたのアカウントを侵害することができ、あなたが管理者権限を持っていた場合、彼らはあなたのネットワークに完全にアクセスできるからです」と彼は言います。 「したがって、最小限の特権のポリシーを使用します。人々にネットワークへのアクセスを許可しますが、仕事に必要なものだけを許可します。」

 

米国におけるマリファナの犯罪化

マリファナは、1937 年のマリファナ税法が制定されたときに米国で初めて犯罪化されました。この法律は違憲として取り消されたが、その後、米国麻薬取締局が乱用または依存の可能性に基づいて薬物を分類するために使用するスケジュールを作成する規制物質法に置き換えられた。

スケジュール

スケジュールは 5 つあり、スケジュール I は乱用と依存の可能性が最も高いと考えられる薬物です。このスケジュールに含まれる薬物には、マリファナ、ヘロイン、リセルグ酸ジエチルアミド (LSD)、メチレンジオキシメタンフェタミン (エクスタシー)、メタクアロン、ペヨーテが含まれます。

米国ではマリファナの所持は初犯で軽罪とみなされますが、マリファナの販売は栽培やマリファナの栽培と同様に、ほとんどの場合重罪とみなされます。所持および販売に対する二度目の違反の罰則は州によって異なります。

超党派の研究機関であるシカゴ大学のNORCによる2019年4月の一般社会調査によると、アメリカ人の61パーセントが現在、医療目的でも娯楽目的でもある程度のマリファナ合法化を支持しており、2000年の30パーセントから大幅に増加している。

arrow_upward