カジノサイト FTC がデータ セキュリティ慣行をどのように実施しているかを示す 1 つの事例
米国の司法判断
サイバーセキュリティ。連邦控訴裁判所の判決によると、連邦取引委員会 (FTC) は、「不公平な」データ セキュリティ慣行の疑いで被告に対して執行措置を起こす法的権限を持っています。
この判決は、ハッカーがウィンダム・ワールドワイド・コーポレーションのコンピュータ・システムに3回もアクセスに成功し、数十万人の消費者の個人情報や財務情報を盗み、1,060万ドル以上の不正請求につながった後、FTCがウィンダム・ワールドワイド・コーポレーションに対して起こした訴訟に端を発している。
ハッキングの前に、ウィンダムはデータを保護するためにサイバーセキュリティに関して「業界標準の慣行に従っていると消費者に虚偽を伝えていた」ことをFTCが発見した。裁判所文書によると、同社は2012年にウィンダムに対して、その行為が「消費者の個人データを不当かつ不必要に不正アクセスや盗難にさらす」不当なサイバーセキュリティ行為であると主張して訴訟を起こした。
FTCは、消費者データを保護する代わりに、ウィンダムブランドのホテルが支払いカード情報をクリアで読みやすいテキストで保存することを許可されていると述べた。ウィンダムは、財産管理システムへのアクセスに、容易に推測できるパスワードの使用を許可しました。そしてウィンダムは「ホテルの資産管理システム、企業ネットワーク、インターネット間のアクセスを制限するために、すぐに利用できるセキュリティ対策」を講じることに失敗した。
さらに、FTCは、ウィンダムが「適切なサイバーセキュリティ予防策」を講じずにホテル資産管理システムを自社のネットワークに接続させたこと、自社のネットワークとサーバーへのサードパーティベンダーのアクセスを制限できなかったこと、ネットワークへの「不正アクセスを検出および防止するための合理的な措置」を採用しなかったこと、適切なインシデント対応手順に従わなかったことで告訴した。ハッカーは各攻撃で同様の手法を使用したが、ウィンダムは以前に使用されたネットワークを監視していなかった。マルウェア。
しかし、ウィンダムは、FTC が連邦取引委員会法に基づいてサイバーセキュリティを規制する法的権限を持っているかどうかについて異議を唱えました。なぜなら、FTC は 2005 年以来、連邦取引委員会法に基づいて不備なサイバーセキュリティに関連する行政措置を起こしているからです。
ウィンダムは、訴訟の却下を求めて米国第三巡回区控訴裁判所に控訴した。しかし裁判所は、FTCには「不公平」または「欺瞞的」な商行為に従事しているとみなされる企業を規制し、処罰する権限があるため、サイバーセキュリティを規制する権限があるとの判決を下した。
「データプライバシーを懸念する顧客を引き付けるためにプライバシーポリシーを公開し、サイバーセキュリティに不適切なリソースを投資してその約束を果たせず、疑いを持たない顧客を重大な経済的損害にさらし、事業利益を保持する企業は公平な行動をとっていない」と裁判所は書いた。
裁判所はまた、もしFTCがこの種のデータ侵害で企業を罰することを許可されれば、「バナナの皮の掃き掃除にずさんな」食料品店を訴える可能性があると示唆し、多数の不当行為の申し立てへの扉を開くウィンダム側の主張も棄却した。
しかし、裁判所は、「ウィンダムがスーパーマーケットだった場合、619,000人の顧客が転倒するほど大量のバナナの皮があちこちに放置されているということは、ウィンダムが責任を免除されるべきであることを示唆しているわけではない。」
ウィンダムは今後、下級裁判所でFTCの2012年の訴訟に臨むことになる。 (連邦取引委員会対ウィンダム ワールドワイド コーポレーション、米国第三巡回区控訴裁判所、第 14-3514 号、2015 年)
差別。連邦陪審は、雇用主が従業員の宗教的信念への対応を拒否し、生体認証ハンドスキャナーの使用を禁止したことにより、宗教差別に関与したとの判決を下した。
ビバリー・R・ブッチャー・ジュニアは、ウェストバージニア州マニントンにあるCONSOL Energy, Inc.およびConsolidation Coal Company鉱山の一般内部労働者でした。ブッチャー氏は 35 年以上同社に勤務しており、その際、会社は新たなセキュリティ対策として、従業員の時間と勤怠を追跡するための生体認証ハンド スキャナーを導入しました。
しかし、肉屋はハンドスキャナーの使用を拒否した。同氏は会社関係者に対し、生体認証による手のスキャンを行うことは福音派キリスト教の宗教的信念に違反すると伝えた。彼はまた、会社役員に手紙を書き、ハンドスキャン技術と、新約聖書の黙示録で反キリストによって議論されている「獣の刻印」との関係についての自分の考えを説明しました。ブッチャーは、これらの信念に基づいてハンドスキャンの免除を要求しました。
両社はブッチャーを追跡する別の方法を検討することを拒否し、ブッチャーが手をスキャンすることを拒否した場合、解雇を含む懲罰を受ける可能性があるとブッチャーに告げた。法廷文書によると、ブッチャー氏によると、会社側の態度が彼の宗教的信念に対する合理的な配慮を提供しなかったために、最終的に彼を退職に追い込んだという。
その後、ブッチャー氏は米国雇用機会均等委員会 (EEOC) に告訴し、同委員会は鉱山会社がブッチャー氏を追跡する代替方法の検討を拒否したことが公民権法第 7 編に違反しているとして、同委員会に代わって訴訟を起こした。
陪審は、企業がブッチャーの権利を侵害したと認定し、EEOCに有利な判決を下し、ブッチャーに15万ドルの損害賠償を与えた。米国地方判事のフレデリック・P・スタンプ・ジュニアもまた、両社は陪審が認定した違反に対して、ブッチャーに対し後払いと前払いとして追加で43万6860ドルを支払わなければならないとの判決を下した。
さらに、裁判所は、生体認証ハンドスクリーニング技術の使用に関連して、企業が宗教に対する合理的配慮を拒否することを禁止する3年間の永久差し止め命令を出した。裁判所はまた、将来の違反を防ぐために、企業に対し第 7 編に基づく宗教的配慮に関する研修を受けるよう要求した。 (EEOC 対 CONSOL Energy, Inc.、ウェストバージニア州北部地区連邦地方裁判所、第 1:13-cv-00215、2015 年)
米国契約書
データ共有。米国と欧州連合(EU)は、犯罪およびテロの捜査中に両国がより多くのデータを交換できるようにする「包括協定」に合意した。この合意は、両者が刑事犯罪の防止、発見、調査、起訴のために使用する名前、住所、犯罪歴などの個人データに適用されます。
この協定に基づき、EU と米国は、個人データの使用の制限、データの転送、データの保持、データへのアクセスと修正の許可、データ セキュリティ違反の個人への通知、司法的救済と強制力の機会の創出に関する基準に合意しました。
協定を確保するために重要なのは、個人データが悪用された場合にEU国民が米国の裁判所に訴えることを認める条項である。 「この協定が発効すれば、大西洋を越えた法執行機関間で転送されるすべての個人データの高レベルの保護が保証されることになる」とEU司法委員のヴェラ・ジュロバ氏は声明で述べた。 「特に、すべての EU 国民が米国の裁判所でデータ保護の権利を行使する権利を有することが保証されます。」
しかし、議会は依然としてEU国民にこの権利を与える法案を可決する必要がある。下院は最近、EU 国民にこれらの権利を認める司法救済法 (H.R. 1428) を可決しました。それは検討のために上院に送られました。
米国の法律
サイバーセキュリティ。上院は、連邦政府が機密および機密解除されたサイバー脅威指標を民間団体と共有できるようにする法案を可決し、同様の上院と下院の法案の相違点を解決するために委員会に提出した。
この法案(S. 754)は、国家情報長官と米国国土安全保障省、国防省、司法省が民間企業、非連邦政府機関、州、部族、地方自治体とサイバー脅威指標を共有することを許可するものである。この法律はまた、民間団体が他の団体または連邦政府と指標や防御措置を共有し、受け取ることを許可しています。
S. 754 には、データの不正アクセスや取得を防ぐためのセキュリティ管理の使用と、サイバーセキュリティの脅威に関係のない個人識別情報を情報が共有される前に削除することを政府に義務付ける規定が含まれています。
しかし、批評家らは、これらの規定がアメリカ人のプライバシーを保護するのに十分であるかどうかを疑問視しており、彼らの懸念に対処するために法律に多数の修正案を導入している。この法案は、署名のためにバラク・オバマ大統領に送られる前に、4月に下院で可決された法案(H.R. 1560)との相違点に対処するために委員会に送られた。
その他の法律
ドイツ
難民。ドイツは、シリア難民が国外追放される代わりに国内に滞在し亡命申請を行うことを認める新しい政策を制定した。
この変更は、「シリア国民に対するダブリンでの手続きの一時停止に関する手続き規定」の一環として、ドイツ連邦移民・難民局によって実施された。これは、亡命希望者が最初に他の加盟国で欧州連合に入国したかどうかをドイツにテストすることを義務付けていたダブリン規制と呼ばれる以前の慣行を停止するものである。もしそうなら、ドイツは彼らをその州に追放し、亡命申請が処理されるまでそこに留まるだろう。
新しい規則の下では、シリア難民は、最初に他の加盟国でEUに入国した場合でも、ドイツに滞在することが許可される。この動きにより、ドイツはそのような政策をとっている唯一の EU 国家となる。