ウィンダムの決定は、「セキュリティから始める」ことを思い出させます
公開: 2015-09-01デジタル エコシステムは、Wyndham Worldwide Corporation に対する米国第 3 巡回控訴裁判所の最近の判決に注意を払う必要があります。これは、データ セキュリティを規制する FTC の権利を確認するものです。
「消費者保護」を監督するという FTC 法第 5 条に基づく FTCの幅広い権限を考えると、データプライバシーを規制する FTC の権限に疑いの余地はありません。 しかし、 Wyndham HotelsとLab MDという 2 つの別々の原告が関係する事件では、データ セキュリティの慣行を規定する FTC の権限が疑問視されています。
判決と、それがエンドユーザーから機密データや個人データを収集する企業にどのように適用されるかを掘り下げる前に、関連する背景を確認しましょう。
ウィンダムに対するFTCの訴訟
ハッカーは 2008 年から 2010 年の間に 3 回、Wyndham のコンピューター システムに侵入し、619,000 人の個人からクレジット カード情報を盗み、1,060 万ドル以上の不正請求を行いました。 これらのシステムには、Wyndham の企業ネットワークが含まれており、これは、Wyndham が管理する 7,000 を超えるホテルやフランチャイズのコンピューター システムにリンクされていました。 これらの度重なるハッキングにもかかわらず、Wyndham はセキュリティ手順の更新を拒否したため、システムへのさらなる侵入が発生しました。
これらの基本的なセキュリティ手順を実装しなかった結果、ハッカーは「メモリ スクレイピング」マルウェアを企業ネットワークと、Wyndham が管理するフランチャイズ ホテルのプロパティ管理システムにインストールすることができました。 2 年間で、ハッカーは 60 万人以上の個人情報や機密情報 (名前、住所、クレジット カード番号) を体系的に抽出し、そのデータをロシアで登録されたドメインに違法にエクスポートしました。
これに対し、FTC は訴訟を提起し、Wyndham が合理的なデータ セキュリティ対策の実施を繰り返し拒否しながら、個々のエンド ユーザーから機密データや個人データ (クレジット カードやその他の請求情報を含む) を収集し続けていることは、セクション 5 に基づく「不公平」であると主張しました。
さらに、FTC は、これらの基本的なデータ セキュリティ手順を採用しないことは、セクション 5 の下で「欺瞞的」であると判断しました。なぜなら、Wyndham はプライバシー ポリシーで、個人データや機密データを保護するために「標準的な」セキュリティ対策を使用すると約束したからです。
Perkins Coie の @JanisKestenbaum によるこの優れたアップデートで、ケースの背景について詳しく知ることができます。
Wyndham がネットワークを保護できなかった方法
FTCの訴状には、Wyndham がネットワークを保護するためにしなかった多くのことの一部が詳述されています。
- ファイアウォールなど、社内のコンピュータ システムを保護するために、すぐに利用できるセキュリティ対策を使用していない。
- ソフトウェアを誤って構成し、その結果、エンド ユーザーのクレジット カード情報をクリア テキストで保存する。
- サーバー上の既知のセキュリティ脆弱性に対処できていない。
- サーバーへのアクセスにデフォルトのユーザー名とパスワードを使用する。
- 従業員が会社のサーバーにアクセスするために複雑なユーザー ID とパスワードを使用する必要がないこと。
- 会社のネットワークやコンピューターへの第三者のアクセスを合理的に制限できていない。
FTC は、このような慣行は個人データや機密データを収集する企業の間では標準的であり、3 回連続してハッキングされた後でさえ、そのような慣行を採用しないことで、Wyndham の行動は不公平であると主張しました。
第三巡回区は語る
FTC の訴訟に対応して、Wyndham は、特に FTC にはデータ セキュリティ訴訟を起こす権限がないと主張して、地方裁判所に訴訟を起こしました。 また、FTC は何が「合理的な」データ セキュリティ慣行であるかを適切に特定していないと主張しました。
地方裁判所でこの主張を失った後、Wyndham は第 3 巡回裁判所に上訴しました。 第 3 巡回裁判所の判決は、Wyndham に対して非常に批判的であり、「 Certiorari 」の原則に基づいて最高裁判所に上訴するためのわずかな根拠を提供する判決で対応しました。
裁判所の意見は、Wyndham が提起した 2 つの重要な質問に答えています。
- FTC は、 FTC 法に基づき、 「合理的な」データ セキュリティ慣行を採用していない企業に対してデータ セキュリティ措置を講じる権限を持っています。
- FTC は、何が「合理的な」データ セキュリティを構成するかについて、業界に適切な通知を提供しています。 この点で、最高裁は、エンド ユーザーや顧客から収集したデータを不適切に保護した被告に対する多数の訴訟における FTC の主張を検討しました。 彼らはまた、標準を明確にするための業界のベストプラクティスに主に基づいている、FTC の公開されたガイダンスにも注目しました。
第 3 巡回裁判所は、Wyndham の行動が FTC のガイダンスに基づいて本当に「不合理」であったかどうかという特定の問題に対処しませんでした。
投稿のこの時点に到達した場合は、おめでとうございます。これは、物事が面白くなり、うまくいけばあなたに関連する場所です.
ビジネスにとって合理的なデータセキュリティとは?
第 3 巡回裁判所の分析によると、FTC は、多数の被告との和解や業界向けのガイダンスの公開を通じて、個人データや機密データの保護に関して「合理的」と見なす慣行について、企業に十分な通知を行っています。
実際、FTC は、 Start with Securityガイドで、モバイル アプリ開発者向けの「合理的なデータ セキュリティ」プラクティスに関する具体的なガイダンスを提供しています。
「すべてのアプリを保護するためのチェックリストはありません。 アプリが異なれば、セキュリティのニーズも異なります。 たとえば、データをほとんどまたはまったく収集しない目覚まし時計アプリは、位置情報に基づくソーシャル ネットワークよりもセキュリティに関する考慮事項が少ない可能性があります。 より複雑なアプリは、ユーザーのデータの保存と操作をリモート サーバーに依存する場合があります。つまり、開発者は、ソフトウェアのセキュリティ保護、データ転送のセキュリティ保護、およびサーバーのセキュリティ保護に精通している必要があります。 課題に加えて、セキュリティの脅威とベスト プラクティスは急速に進化しています。」
つまり、FTC は、アプリ開発者が収集するデータの種類とそのデータの使用方法に基づいて、合理的なデータ セキュリティ プラクティスを採用し、維持することを期待しています。 彼らは万能のアプローチを処方しません。
そのため、収集したデータとそのデータの使用方法と共有方法を考慮して、データとセキュリティ対策のインベントリを作成し、それらが「合理的」であるかどうかを判断するのに適した時期です。 FTC のStart with Securityガイドを参照して、これらの手順が自分に当てはまるかどうかを判断することをお勧めします。
特に、FTC は、個人データや機密データを収集している企業に対して、次のことを行うよう強く求めています。
- 誰かにセキュリティの責任を負わせてください。
- 収集して保持するデータを検討してください。
- データの最小化を実践する: 必要のないデータを収集または保存しないでください。
- 使用するモバイル プラットフォームのセキュリティ プラクティスを調査して理解します。
- サーバーを保護します。 アプリと通信するサーバーを維持する場合は、適切なセキュリティ対策を講じて保護してください。 商用クラウド プロバイダーに依存している場合は、サーバー上のソフトウェアのセキュリティ保護と更新に関する責任の区分を理解してください。
- 財務データ、健康データ、または子供のデータを扱う場合は、適用される基準と規制を理解していることを確認してください。 TUNE が最近立ち上げたプライバシーとデータのマイクロサイトに適用される法律の種類と業界の枠組みの詳細を確認できます。
- セキュリティ、データ、およびプライバシーの慣行について通知し、「自分の言葉でユーザーと話してください」。
- 資格情報 (ユーザー名、パスワード) を安全に生成します。
- 機密データをプレーン テキストで保存または転送しないでください。 請求データやその他の重要なデータにはトランジット暗号化を使用します。 FTC は、Lifelock、RockYou、および ValueClick に対して、平文データの保存と送信を理由に訴訟を起こしました。
- 転送およびストレージの暗号化は、州のデータ侵害法への準拠にも関連しています。この法律では、「個人データ」が侵害された場合、州の司法長官およびエンド ユーザーに報告する必要があります。 カリフォルニア州およびその他の州の法律に基づく個人データには、暗号化されていないデータ (クレジット カード情報、パスワードと共に保存された電子メール アドレスなど、平文で保存されたデータ) が含まれます。
- アプリのローンチ後も引き続きご利用ください。 新しい脆弱性は日々発生しており、最も評判の良いソフトウェア ライブラリでさえセキュリティ アップデートを必要としています。
だから、セキュリティから始めましょう
ウィンダムに対する第 3 巡回裁判所の判決は、個人データや機密データを扱うすべての企業がデータとセキュリティの慣行を見直す必要があることを思い出させる重要なものです。 このようなデータの侵害は、FTC の責任、集団訴訟、そして最も重要なことに、エンド ユーザーとの信頼の喪失につながる可能性があります。
これはあなたが喜んで取るリスクですか? そうでない場合は、今日「セキュリティから始める」ことは理にかなっています。
追加の重要なリソース:
「合理的な」データ セキュリティとは何か、またそれがビジネスにどのように適用されるかについてさらに詳しく知りたい場合は、著名なプライバシー学者である Dan Solove と Woody Hartzog による「The Common Law of Privacy」をチェックする価値があります。 FTC が「同意判決」 、つまり一定期間 (通常は 20 年間) に特定の行為を行うことを会社に要求する和解を通じて、どのようにして現代の米国プライバシー法を形作ることができたかを探ります。 これには、 Microsoftに対するデータ セキュリティ同意判決(Passport の場合) が含まれます。 この機関は現在、 Facebook (2009 年のプライバシー ポリシーの変更以降) およびGoogle (2010 年の Buzz の開始以降) に対してプライバシー同意命令を下しています。
写真クレジット: @dcillustrated
この記事が好きですか? ブログ ダイジェスト メールにサインアップしてください。