一般的な考えやハリウッドの描写に反して、金の採掘は気の弱い人向けではありません。成功するには、時間、リソース、そして通常は地理、地質学、化学、工学に関する専門知識が必要です。

そして、金が発見され、その発見物が鉱山として開発される可能性は非常に低く、0.1%未満であり、世界金評議会によると、さらなる開発を正当化するのに十分な世界の金埋蔵量のわずか10%です。

しかし、この仕事に取り組む人にとっては莫大な利益が得られ、2019年9月の記事執筆時点で金がオンスあたり1,499.50ドルの価値がある市場に鉱山労働者が参入できるようになる。

大規模なデータ侵害を成功させる場合にも同じことが当てはまります。ターゲットを特定し、最適な侵入方法を決定するための調査と偵察を行い、その後、攻撃を実行し、データを取得し、逮捕と訴追を回避する能力を得るには時間がかかります。

2017 年、ハッカーは金鉱山に相当するデータ、Equifax を襲撃しました。消費者信用報告機関は、個人がそのシステムにアクセスし、約 1 億 4,700 万人のアメリカ人のデータを侵害したことを確認しました。 Equifax はまた、英国とカナダの居住者がこの侵害の影響を受けたと述べた。

ハッカーは、社会保障番号、運転免許証番号、生年月日、名前、クレジット カード情報など、さまざまな個人データを盗み出しました。

「犯罪者は米国の Web サイト アプリケーションの脆弱性を悪用して特定のファイルにアクセスした」と Equifax が侵害を明らかにした後に発表した声明によると。 「同社の調査によると、不正アクセスは 2017 年 5 月中旬から 7 月にかけて発生しました。同社は、Equifax の中核となる消費者データベースまたは商業信用報告データベースに不正行為があったという証拠は発見していません。」

侵害の後、Equifax は消費者、規制当局、議員からの厳しい監視にさらされました。 Equifax は Web サイトを開設し、消費者が自分のデータが侵害によって侵害されたかどうかを判断し、信用監視と個人情報盗難防止にサインアップできるようにしました。しかし、Web サイトの初期バージョンに免責条項があれば、個人が侵害を理由に消費者報告機関に対して訴訟を起こすことはできなかったかもしれません。

「お客様の請求を仲裁に提出することに同意することにより、お客様は、たとえ請求の根拠となる事実や状況がすでに発生または存在していたとしても、集団訴訟（指名原告または集団訴訟メンバーとして）を提起または参加する権利、または集団がまだ認定されていない集団訴訟を含む集団訴訟の裁定に参加する権利を失うものとします。」

その後、ニューヨーク州司法長官エリック・シュナイダーマンは、免責条項を削除するようエクイファックスに連絡するようスタッフに指示し、エクイファックスはそれを実行し、違反がどのように起こったかを調査した。

後に捜査当局は、ハッカーが Apache Software Foundation から数カ月前にパッチが入手可能だった脆弱性を利用して Equifax に侵入したため、この侵害は防止可能だったと判断しました。

実際、米国コンピュータ緊急事態対応チーム (US-CERT) は、2017 年 3 月に Equifax にシステムの脆弱性を通知し、すべての Apache ソフトウェア ユーザー向けに無料でリリースされた新しいバージョンにソフトウェアを更新するよう同庁に奨励しました。

連邦取引委員会 (FTC) は Equifax に対する調査を開始し、信用調査機関が使用していた ACIS と呼ばれるシステムが元々 1980 年代に構築され、サポートされなくなった古いシステムを実行していたことを発見しました。

このため、Equifax 自体は ACIS を「レガシー インフラストラクチャであり、独自の文書ではシステムが『時代遅れ』であり、『時代遅れのテクノロジー』を使用していると説明している」と考えていたと、a FTCによって提出されました。 「2016 年の時点で、毎年約 2,500 万人の消費者が ACIS とやり取りしており、そのうち約 660 万人が信用報告書の取引に異議を唱えています。」

ACIS システムには Apache ソフトウェアのパッチ適用済みバージョンが必要であり、Equifax のセキュリティ チームはそれを認識していました。同社は US-CERT のアラートを受信し、社内の 400 人以上の従業員にアラートを送信し、Apache の責任者に 48 時間以内に脆弱性にパッチを適用するよう指示しました。

しかし、ACIS 紛争ポータルの保守を担当する従業員に電子メールが届かなかったため、パッチは実装されませんでした。その後の脆弱性スキャンは不適切に構成されていたため、パッチが実装されていないことを Equifax に警告できませんでした。

数か月後の 2017 年 7 月、Equifax は ACIS 紛争ポータルで不審なトラフィックを認識し、大規模なデータ侵害を特定し、その対応を軽減するプロセスを開始しました。

これらの失敗により、FTC、消費者金融保護局 (CFPB)、および米国の 50 の州および準州は、Equifax がネットワークを保護するための合理的な措置を怠り、大規模なデータ侵害につながったと主張しました。

1 年後、英国情報コミッショナー局 (ICO) は、消費者の個人情報の保護を怠ったとして Equifax に罰金を課した最初の規制当局となりました。 ICO は同社に 50 万ポンド (約 62 万 5,000 ドル) を請求しました。

カナダ連邦プライバシー委員ダニエル・テリエン氏はその後、2019 年 4 月に、Equifax がカナダ国民のデータを保護する義務を果たしていないことを発見しました。

「Equifax が保有する膨大な機密性の高い個人情報と、信用報告機関としての金融分野における極めて重要な役割を考慮すると、同社のプライバシーとセキュリティの実践にこのような重大な欠陥が見つかることは全く容認できない」とテリアン氏は声明で述べた。しかし、カナダの規制当局は、この違反に対して Equifax に罰金を科すまでには至りませんでした。

侵害から約 2 年後の 2019 年 7 月、Equifax は少なくとも 5 億 7,500 万ドル、場合によっては最大 7 億ドルの和解に同意しました。米国の48の州、コロンビア特別区、プエルトリコは総額1億7,500万ドルの民事罰金を受けることになる。 CFPBは1億ドルを受け取ります。

和解金の一部である 3 億ドルは、影響を受けた消費者に信用監視サービスを提供するため、または侵害の結果 Equifax から信用または身元監視サービスを購入した消費者に補償を提供するための基金に寄付されます。必要に応じて、Equifax は消費者の損失を補償するためにその基金にさらに 1 億 2,500 万ドルを追加します。

「個人情報から利益を得ている企業には、そのデータを保護し安全に保つ特別な責任がある」とFTC委員長ジョー・シモンズは声明で述べた。 「Equifax は、約 1 億 4,700 万人の消費者に影響を与えた侵害を防ぐことができた可能性のある基本的な措置を講じることができませんでした。」

また、消費者報告機関は、2020 年から 2027 年まで、米国のすべての消費者に毎年 6 件の無料信用報告書を提供する予定です。これは、Equifax がすでに提供している 1 件の無料の年間信用報告書に追加されるものです。

この和解案では、消費者への賠償に加えて、将来同様の侵害が発生するのを防ぐために、さまざまなセキュリティ対策を講じることも Equifax に義務付けています。

「Equifax が基本的なセキュリティ対策を怠ったため、ハッカーは驚くべき量のデータにアクセスできた」と FTC は述べています。 「これには、セキュリティの脆弱性に確実にパッチを適用するためのポリシーの実装に失敗したこと、データベース サーバーが 1 つのデータベースに侵害された場合にネットワークの他の部分へのアクセスをブロックするようにセグメント化していなかったこと、レガシー データベースに堅牢な侵入検知保護をインストールしていなかったことが含まれます。」

FTCはまた、消費者の個人情報へのアクセスを制限し、消費者データを保護するために「合理的な物理的、技術的、および手続き上の保護手段」を導入しているとプライバシーポリシーを定めていたにもかかわらず、Equifaxはネットワーク認証情報、パスワード、社会保障番号などの機密情報を平文で保存していたと述べた。

これらの失策はすべて、FTC 法の不当かつ欺瞞的な行為の禁止とグラム・リーチ・ブライリー保護規則への違反であるとされています。

これを改善するために、和解案では、プログラムを監督する従業員を任命し、内部および外部のセキュリティ リスクの年次評価を実施し、それらのリスクに対処するための保護措置を導入する包括的な情報セキュリティ プログラムの導入を Equifax に義務付けています。

Equifax は、和解命令の情報セキュリティ要件を遵守していることについて、取締役会または関連する分科会から毎年証明書を取得する必要があります。

さらに、Equifax は、セキュリティ保護手段の有効性をテストおよび監視し、Equifax が保管する個人情報にアクセスできるサービス プロバイダーもそれらの保護手段を確実に実装する必要があります。

さらに、追加の保護手段として、Equifax は 2 年ごとに第三者による情報セキュリティ プログラムの評価を受けなければなりません。

「命令に基づき、評価者は結論を裏付ける証拠を特定し、独立したサンプリング、従業員インタビュー、文書レビューを実施する必要がある」と FTC は述べています。 「この命令は、2年間の評価期間ごとに評価者を承認する権限を委員会に与えています。また、この命令は、消費者請求プロセスの状況についてFTCに年次最新情報を提供することをEquifaxに義務付けています。」

この最後の部分は Equifax にとって極めて重要です。Equifax では当初、侵害の影響を受けた消費者に 10 年間の信用監視または 125 ドルの請求を許可していました。非常に多くの人が 125 ドルの料金を選択したため、わずか数週間後に Equifax は声明を発表し、消費者に支払うために設立された基金には 3,100 万ドルしかないため、各人への支払い額は 125 ドルよりもはるかに少ないと述べました。

また、Equifax は将来のデータの宝庫への侵害を防ぐためにこれらの措置を講じる必要があるが、同様の過ちを犯した他の企業を罰する FTC の能力には限界がある、と Simons 氏は述べた。

「CFPBと州は、大手金融機関によるこの大規模な違反に対して民事罰を得ることができた」と彼は説明した。 「FTCには、FTC法やグラム・リーチ・ブライリー保障措置規則の初期違反に対する民事罰の権限がないため、それができませんでした。幸いなことに、今回は他の機関がその溝を埋めることができました。しかし、状況が異なると、将来の違反が必ずしも民事罰の対象になるとは限らず、これは抑止力に関してまったく間違ったシグナルを送ることになります。」

このため、シモンズ氏は、米国議会が行動し、FTC にこの機能を与える法案を可決するよう主張しました。上院銀行委員会のメンバーであるマーク・ワーナー上院議員（バージニア州民主党）はそのような措置を支持している。

「Equifax のずさんなサイバーセキュリティ慣行の結果被害を受けた顧客がある程度の補償を受けられることを嬉しく思いますが、このようなことが二度と起こらないようにするためには、構造改革と信用報告機関の監視強化が必要です」とワーナー氏は声明で述べた。

彼と、銀行委員会の委員でもあり、民主党の大統領候補でもあるエリザベス・ウォーレン上院議員 (民主党-マサチューセッツ州) とともに、データ侵害防止および補償法を導入しました。この法案は、データを盗まれた消費者に強力な補償を提供するとともに、データ侵害に対して消費者報告機関に強制的な罰則を課すことを目的としています。また、FTC に消費者報告機関に対するより直接的な監督権限を与えることになる。

「この法案が 2017 年の Equifax 侵害より前に発効していれば、同社は米国人の個人情報を保護できなかったことに対して少なくとも 15 億ドルを支払わなければならなかったでしょう。」とワーナー事務所は述べています。

米国イライジャ・カミングス下院議員(民主党-メリーランド州)とラジャ・クリシュナムーティ下院議員(民主党-イリノイ州)は、関連法案を下院に提出した。ただし、現在セキュリティ管理者9月の報道時点では、どちらの法案も前進していませんでした。