企業と規制当局は 2012 年以来、サイバーセキュリティ関連の訴訟、連邦取引委員会 (FTC) 対ウィンダム ワールドワイド コーポレーションの結果を待っていました。

2015年末、米国第三巡回区控訴裁判所は幹部と監視機関に答えを出した。 For the first time, a federal appeals court endorsed the FTC’s ownership of cybersecurity enforcement in the private sector, ruling that the commission can hold companies liable for failing to maintain adequate cybersecurity, even though the commission has not defined minimum cybersecurity standards through rules or regulations.​

最初の課題

FTC は 2005 年に、サイバーセキュリティが不十分で消費者データを保護できなかったとされる企業に対して最初の行政執行措置を開始しました。 FTC は、詐欺的、欺瞞的、または不当とされる広範な商慣行に異議を申し立て、執行措置を講じる広範な法的権限を持っています。法律の下で行為または慣行が不公平であると認められるには、結果として生じる消費者への損害が重大であり、消費者が合理的に回避できないものであり、消費者への利益や競争力を維持するための企業の努力がそれを上回っていない必要があります。

FTC は、公式声明と和解の中でサイバーセキュリティの権限を明確に示しました。しかし、企業が法令と和解に同意したため、不適切なサイバーセキュリティ慣行をその範囲内に含めるという委員会の決定は、司法の監視をほとんど免れた。 

2008 年から 2009 年にかけて、世界的なホテル会社であるウィンダム ワールドワイド コーポレーションは 3 回のサイバーセキュリティ侵害に見舞われ、ハッカーが 619,000 人以上の消費者から支払いカード情報を入手したとされ、詐欺により少なくとも 1,060 万ドルの損失が発生しました。

提出書類によると、FTCは2012年8月に連邦地方裁判所にウィンダムに対して修正訴状を提出し、ウィンダムが「不当かつ不必要に顧客の個人データを不正アクセスや盗難にさらす」不当かつ欺瞞的な行為に従事したと主張した。

訴状ではさらに、ネットワークへのアクセスを制限するファイアウォールの使用を怠ったこと、ペイメントカード情報をクリアなテキストで保存しなかったこと、ホテルがネットワークに接続する前に適切なデータセキュリティポリシーと慣行を実装していたことを確認しなかったこと、侵入の検知と防止やセキュリティ調査の実施に合理的な措置を講じなかったこと、4月の最初のサイバー攻撃後に適切なインシデント対応手順に従わなかったことなど、FTCがウィンダム社が関与したと非難した10の不当行為を挙げている。 2008年。

FTC の訴状は、サイバーセキュリティ慣行に関するウィンダムの声明は欺瞞的であり、その不適切なサイバーセキュリティ慣行は不公正な貿易慣行であると主張しました。

これに対し、ウィンダムは、FTC には不公正な貿易慣行の禁止をデータ セキュリティに適用する権限がないという主張に焦点を当て、訴訟を却下するよう動きました。

しかし、ニュージャージー州連邦地方裁判所のエスター・サラス判事は、FTCには企業が合理的かつ適切なデータセキュリティを維持しないことを規制する権限があると判断し、ウィンダムの申し立てを却下した。ウィンダムは第三巡回裁判所に控訴し、不十分なデータセキュリティは不公正な取引慣行となり得るとした下級裁判所の判断は誤りであると主張した。

ウィンダムは、たとえ裁判所が不適切なサイバーセキュリティが不公正な貿易慣行である可能性があると認定したとしても、禁止されている不公正な貿易慣行の意味には不適切なデータセキュリティ慣行が含まれる可能性があることを公正に認識していなかったため、裁判所は責任を負うべきではないと主張した。

判決

ウィンダムは、不適切なデータセキュリティ慣行は法律に基づく「不公平な」行為または慣行ではありえないという命題について、いくつかの議論を展開しました。その中でウィンダムは、「その行為が『不公平』であるのは、それが『公平ではない』場合、または『不正、不公平、または欺瞞の痕跡がある』場合に限られる」と主張した。

しかし、第三巡回裁判所は判決の中で、たとえこれらが不当請求の要件であったとしても、「データプライバシーを懸念する顧客を惹き付けるためにプライバシーポリシーを公表し、サイバーセキュリティに不十分なリソースを投資してその約束を果たせず、疑いを持たない顧客を重大な経済的損害にさらし、事業利益を保持している企業は公平に行動していない。」

Even though the FTC’s complaint included claims for both deceptive and unfair practices related to Wyndham’s allegedly misleading privacy policy and inadequate cybersecurity practices, only the FTC’s unfairness claim was before the Third Circuit on appeal. The court acknowledged that the “facts relevant to unfairness and deception claims frequently overlap,” and the two theories could not be “completely disentangled.”

代わりに、裁判所は、欺瞞的とされるプライバシーポリシーが不公平性の分析、特に消費者被害の申し立てが避けられないかどうかに関連していると認定した。裁判所は、ウィンダムの行為によって引き起こされたとされる傷害は、同社が合理的なセキュリティ慣行を行っていると主張してプライバシー ポリシーが顧客を欺いていたこともあり、合理的に回避可能ではなかったとの判決を下した。

ウィンダムはまた、ハッカーの被害を受けた際に顧客を不当に扱っていないと主張した。しかし、裁判所はこの議論も無視し、ハッカーが消費者被害の最も直接的な原因であったとしても、サイバーセキュリティへの侵入は合理的に予見可能であり、ウィンダム社の不適切なデータセキュリティ慣行によって促進されたと論じた。

ウィンダムは最終的に、サイバーセキュリティが現在FTCの管轄下に収まっているとしても、その後の法律はサイバーセキュリティをFTCの管轄から除外するように解釈されるべきだと主張した。ウィンダムは、公正信用報告法、グラム・リーチ・ブライリー法、児童オンラインプライバシー保護法に対する2003年の改正を指摘し、FTCがすでにサイバーセキュリティを規制できるのであれば、議会がこれらの法律を制定する理由はないと主張した。

しかし、裁判所はこの主張も却下し、議会にはこれらの各法案を制定する独自の理由があり、サイバーセキュリティを規制するFTCの権限と矛盾しないと認定しました。

しかし、注目すべきことに、裁判所はウィンダムのデータセキュリティ慣行が不公平であるかどうかを判断しなかった。裁判所の判決は、不適切なデータセキュリティ慣行が不公平であるかどうかのみに限定されており、下級裁判所がウィンダムの不適切なデータセキュリティの申し立てが不公平な慣行に当たるかどうかを判断する可能性が残された。

しかし、ウィンダムは 2015 年 12 月に FTC と和解に達したため、下級裁判所はその疑問に決して答えることはないだろう。この和解条件には、金銭的な罰金や責任の自認は含まれておらず、ウィンダムは、ペイメント カード業界のデータ セキュリティ基準に準拠した包括的な情報セキュリティ プログラムを確立し、維持することが求められている。また、データ セキュリティ プログラムの年次監査も受けなければなりません。

レッスン

ウィンダムの第三巡回区での FTC の勝訴は、同委員会が国内をリードする民間部門のサイバーセキュリティ規制当局として台頭することを裏付けるものでした。この判決は、FTC の一般消費者保護管轄権の対象となるすべての企業がサイバーセキュリティ規制の対象となることを確認しました。

裁判所は最低限のサイバーセキュリティ基準を明確には示さなかったが、FTC ガイドブック「個人情報の保護: ビジネスのためのガイド」と、不十分な企業サイバーセキュリティに基づく不当性請求を提起する行政訴訟における FTC の同意判決のどこを参照すればよいかを企業に指示した。

第三巡回裁判所は、機密情報の暗号化、ファイアウォールの使用、強力なパスワードの要求、侵害対応計画の実施といったガイドブックの具体的な推奨事項など、これらのガイダンス情報源は、どのような行為が不当行為に該当するかを「事前に判断する」のに「確実に」役立つとコメントした。

これらのトピックに関する FTC のガイダンスは、ガイドブックと第 2 の出版物である『Start with Security: A Guide for Business』に記載されており、この中で委員会は 50 を超える FTC データ セキュリティの和解から得た教訓を 10 の重要なポイントにまとめようとしています。

FTC はさまざまな暗号化技術やファイアウォール アプリケーションの微妙な違いを調査していませんが、その公開ガイダンスは、すべての企業が考慮すべきサイバーセキュリティ ポリシーと手順について上級管理者との重要な議論を促進する重要なツールとなり得ます。

ファイアウォール。FTC は、ウィンダムがファイアウォールを使用してネットワークへのアクセスを分割および制限しなかったことは不公平な取引慣行であると主張した。ファイアウォールは、コンピューターとネットワークをハッカーの攻撃から保護するためのシンプルかつ効果的な方法です。 

FTC ガイドブックによると、企業は自社のネットワークをインターネットから分離するために「境界」ファイアウォールを設置し、正当な業務に必要な信頼できる従業員のみがネットワークにアクセスできるようにアクセス制御を設定するかどうかを検討する必要があります。 

「ファイアウォールが提供する保護は、そのアクセス制御と同等の効果しかない」とガイドブックは説明しています。したがって、適切な担当者にのみアクセスが許可されるように、これらの制御を定期的に見直す必要があります。

パスワード。FTCは、ファイアウォールに加えて、ウィンダムが別の基本的なセキュリティ予防策である安全なパスワードを効果的に使用できなかったとも主張した。具体的には、FTC は、ウィンダムが、よく知られているデフォルトのユーザー ID とパスワードを使用するサーバーによるウィンダムのネットワークへの接続を許可し、複雑なパスワードの使用を要求しなかったとして告発しました。

FTC は、「賢明なパスワードの衛生管理」について、ある程度詳細に概説しました。同委員会はガイドブックの中で、強力なパスワードは長く、一般的な辞書に載っていない文字、数字、記号が混在していると説明している。 

さらに、企業はパスワードを頻繁に変更し、毎回新しいものにし、ユーザー名とは異なるものにすることを要求する必要があります。デフォルトのパスワードは直ちに変更されるべきであり、従業員はワークステーションの近くにパスワードを投稿したり、特に暗号化されていない電子メールを介してパスワードを他人と共有したりすることを禁止されるべきです。

これらのベスト プラクティスは常識のように思えるかもしれませんが、無視されることがよくあります。たとえば、Start with Security 誌によると、2011 年の Twitter に対する訴訟で、FTC は「会社は従業員に、他のアカウントにすでに使用していたパスワードだけでなく、一般的な辞書の単語を管理パスワードとして使用させた」と主張しました。

これらの緩い慣行により、「パスワード推測ツールを使用したり、Twitter 従業員が同じパスワードを使用して会社のシステムにアクセスすることを期待して他のサービスから盗んだパスワードを試みたりするハッカーに対して Twitter のシステムが脆弱になった」とガイダンスは説明しています。

データ送信。ウィンダムに対するFTCの訴状では、ウィンダムが決済カード情報をクリアで読みやすいテキストで不適切に保存していたと主張している。コンピューター ネットワーク、ディスク、ポータブル ストレージ デバイスに保存されている支払いカード データなどの機密情報は暗号化する必要があります。

さらに、企業がクレジット カード情報やその他の機密の財務データを送受信する場合、トランスポート層セキュリティ/セキュア ソケット レイヤ (TLS/SSL)、または転送中の情報を保護する別の安全な接続の使用を検討する必要があります。データは、企業と第三者の間を移動するときだけでなく、電子メールで送信されたり、企業のネットワーク内に保存されたりするときにも保護される必要があります。 

たとえば、Start with Security によると、2005 年の Superior Mortgage Corporation の訴訟では、FTC は「同社は顧客の Web ブラウザと企業の Web サイト サーバー間の機密個人情報の送信を安全にするために SSL 暗号化を使用した」と述べました。 「しかし、情報がサーバーに届くと、会社のサービスプロバイダーがそれを復号化し、クリアで読みやすいテキストで会社の本社と支社に電子メールで送信しました。」

FTC は、企業は機密データを保護するために業界でテストされ承認された方法を使用する必要があると述べています。 Start with Security によると、2008 年の ValueClick に対する訴状の中で、FTC は、「同社は電子商取引サイトを通じて収集した顧客の機密情報を、非標準の独自形式の暗号化を使用したデータベースに保存していた」と主張しました。

「広範にテストされた広く受け入れられている暗号化アルゴリズムとは異なり、訴状では、ValueClick の手法は重大な脆弱性を抱えている単純なアルファベットの変電所システムを使用していると告発されました」と FTC は説明した。 「同社は、データを保護するために業界でテストされ、認められた実証済みの方法を使用することで、これらの弱点を回避できたはずです。」

アクセス。ウィンダムに対するFTCの訴状では、ウィンダムがネットワークへのサードパーティベンダーのアクセスを適切に制限できなかったとも主張されている。ビジネス ニーズにより、企業はベンダーやその他のサードパーティに自社のネットワークへのアクセスを提供する必要がある場合がありますが、サードパーティのアクセスが安全であり、適切な関係者に制限されていることを保証するためのポリシーと手順を整備する必要があります。

FTC は、自社のネットワークを適切に保護していても、それらのネットワークへのベンダー アクセスに適切なセキュリティが確保されていない企業に対して、いくつかの強制措置を講じました。

たとえば、2008 年の事件では、プレミア キャピタル レンディングは、最初に顧客のセキュリティを評価することなく、顧客のリモート ログイン アカウントを有効化し、その後、そのアカウントが悪用されて企業システムにアクセスし、そこから個人情報が持ち出されたとされています。 

同様に、2011 年の Settlement One に対する訴訟では、同社はクライアントがファイアウォールや最新のウイルス対策ソフトウェアなどの基本的なセキュリティ対策を講じていることを事前に確認することなく、企業のオンライン ポータルを介してクライアントが情報にアクセスすることを許可したとされています。

企業はサービス プロバイダーに合理的なセキュリティ対策を維持することを要求するだけでなく、その約束を契約書に書き込む必要もあります。

計画中。The FTC also alleged that Wyndham failed to use reasonable measures to detect and prevent intrusions into its network or to conduct security investigations.さらに、ウィンダムは 3 回のサイバー攻撃のうち最初の被害を受けた後、適切なインシデント対応手順に従わなかったと言われています。

データ セキュリティに対する万能のアプローチはありませんが、FTC はセキュリティ インシデントへの対応計画の重要な要素の概要を示しました。サイバーセキュリティインシデントへの対応を調整し実行する上級スタッフメンバーを任命する必要があります。インシデントが発生した場合、誰が対応の先頭に立っているのかについて疑問の余地はありません。

企業がサイバーセキュリティ インシデントの調査と修復の技術的側面を外部委託する場合でも、企業はインシデントが発生した場合にどの当事者に通知するかを事前に検討する必要があります。 

FTC ガイドブックに記載されているように、企業は消費者、法執行機関、規制当局、顧客、信用調査機関、その他の影響を受ける企業に通知する必要がある場合があります。サイバーセキュリティ インシデントへの対応がすでに始まっているときに、誰に通知する必要があるかを慌てて把握するよりも、インシデントが発生する前にこれらの通知義務を満たす計画を立てる方がはるかに簡単です。

裁判所がウィンダムで指摘したように、FTCの指導、苦情、同意判決は「規制でも本案の裁定でもない」にもかかわらず、FTCが特定の不適切なサイバーセキュリティ慣行に基づいて不当性の申し立てを追及することを企業に知らせることになる。 

サイバーセキュリティ専門家はすでにこれらの文書を精査し、必要となる可能性のある具体的なデータセキュリティ慣行を確認しようとしています。裁判所がこれらのガイドライン情報源を承認したことにより、これらの資料への言及がますます重要になり、関連する規則や規制が存在しない場合、米国企業向けの最低限のサイバーセキュリティ基準を定義する際に FTC に大きな影響力を与える可能性があります。

業界への影響

第三巡回区が FTC のサイバーセキュリティ当局を支持したことは、米国企業にとって自社のサイバーセキュリティ ポリシーと慣行を評価する重要な機会となります。

While such an evaluation is especially important for businesses already subject to the FTC’s general consumer protection jurisdiction, it is wise for all businesses to become familiar with what may become the private sector’s de facto cybersecurity standard.

ウィンダム後の FTC が、欺瞞と不公平に対してサイバーセキュリティの執行措置を起こすことができるということは、たとえその慣行に関する企業の声明が正確であったとしても、そのサイバーセキュリティの慣行が不当であると信じる理由がある、管轄区域内のあらゆる企業に対して執行措置を開始できることを意味します。

ウィンダムでの不公正な慣行の疑いを例に挙げると、FTCは、ファイアウォールの導入、支払いカード情報の暗号化、強力なパスワードの要求などのデータセキュリティの欠陥のみを理由に、不公正な取引慣行に対して執行措置を起こす可能性があります。

FTC は公正なサイバーセキュリティ基準を定義する規則や規制を公布していないため、企業はウィンダムで指摘されている資料 (FTC のさまざまな指導文書や同意法令など) を精査して、不適切なサイバーセキュリティを主張する潜在的な FTC の強制執行を回避するためにどのようなサイバーセキュリティ ポリシーと慣行を導入する必要があるかを判断する必要があります。 

50回目のデータセキュリティ和解提案を記した委員会の声明も、一般論としてその期待を伝えている。 

「データセキュリティに対する委員会のアプローチの試金石は合理性である。企業のデータセキュリティ対策は、保有する消費者情報の機密性と量、ビジネスの規模と複雑さ、セキュリティを向上させ脆弱性を軽減するために利用可能なツールのコストを考慮して、合理的かつ適切でなければならない」とFTCはプレスリリースで述べた。 「和解、証言、公式声明を通じて、委員会は完璧なセキュリティを必要としないことを明らかにしました。合理的かつ適切なセキュリティとは、リスクを評価して対処する継続的なプロセスです。万能のデータ セキュリティ プログラムは存在しません。また、侵害が発生したという単なる事実は、企業が法律に違反したことを意味するものではありません。」

ウィンダム戦後、適切なサイバーセキュリティ慣行を実装するためのリスクはこれまで以上に高まっています。他に民間部門のサイバーセキュリティ基準がない場合、FTC の同意判決で明示された最低基準が、株主訴訟、州司法長官やその他の規制当局による執行措置、サイバーセキュリティ保険会社など、他の分野に適用される事実上のサイバーセキュリティ基準になる可能性があります。

サイバーセキュリティのリスクが高まり、さまざまな規制当局からの注目が高まる中、ウィンダム裁判所がサイバーセキュリティの最低基準の根拠としてFTCのガイダンスと同意判決に依存していることは、企業が自社のサイバーセキュリティポリシーと実践がどのように対応しているかを注意深く検討する必要があることを示唆しています。

--

アダム S. ルーリーは、Cadwalader, Wickersham & Taft LLP の訴訟パートナーであり、民事、刑事、規制紛争における企業の代理を専門としています。 キース M. ガーバーそしてピーター・T・ケアリー は、ワシントン D.C. に拠点を置く Cadwalader, Wickersham & Taft LLP のホワイト カラー防衛および調査グループの従業員です。彼らは、政府の執行措置や企業内部の調査に重点を置き、さまざまな複雑な刑事、民事、規制問題についてクライアントにアドバイスを行っています。