全米史上最悪の個人情報漏洩を起こしたEquifax、個人への補償はたった3ドル(300円)
2年前の2017年、アメリカの3大クレジット・ビューロー*の1つ、エクイファックス(Equifax)社がハッキングされ、約1億4700万人分の貴重な個人情報が盗まれる事件が起きた。(*クレジット・ビューローとは、個人の購買データやローン・家賃等の支払い履歴を収集し個人の与信スコアを算出し提供している企業。)
2017年5月、ハッカー集団はエクイファックス社のネットワークに侵入し、76日間も不正アクセスを続けた。その間、同社は不正アクセスに気がつかなかった。同社が不正アクセスに気がついたのは7月後半。そして8月初旬に同社はFBIに通報。そして外部のサイバー・セキュリティー企業であるMandiantに連絡を取った。エクイファックス社が世間に事件を公表したのは、9月に入ってからだった。
流出した個人情報には、1億4700万人分の生年月日、1億4600万人分の社会保障番号(日本のマイナンバーに相当)、そして20万9000人分のカード番号や有効期限なども含まれていた。
2017年当時の全米の人口が約3億人2500万人で、そのうち18歳以上は77%を占める。これを計算すると、全米の18歳以上の人口は約2億5000万人となる。つまり、このハッキングで全米の18歳以上の総人口の約6割の人の個人情報が流出したことになる。
米連邦政府の規制当局(連邦取引委員会および消費者金融保護庁)や全米50州の州政府、そして集団訴訟を起こしていた個人らと、エクイファックス社は和解することが決まった。同社は連邦政府および州政府に対して7億ドル(約770億ドル)を支払うことで決着したとブルームバーグが報じた。
連邦取引委員会(FTC)の議長であるジョー・シモンズ氏は、次の声明を発表している:
エクイファックス社は、基本的な防護措置を取ることを怠っていた。もしそうした基本的な防護措置を取っていれば、1億4700万人もの個人の最もセンシティブな個人情報がハッキングされることを防げていたかもしれない。今回の和解では、同社が今後、データの安全性を向上するための手順を踏むこと、そして今回被害に遭った個人がなりすまし犯罪や詐欺事件から自らを守るための支援が受けられるようにすることを同社の責任にしている。
連邦取引委員会(FTC)は、エクイファックス社が同社のネットワーク上に見つかっていた脆弱性に対して、2017年3月に警告があがっていたにも関わらずパッチを当てることを怠ったと声明で明確にしている。この重大なセキュリティー上の脆弱性は、消費者が自身の与信履歴を閲覧するために送るクエリーを処理するデータベースに見つかっていた。エクイファックス社のセキュリティー・チームは、この脆弱性が見つかったシステムにパッチを当てるよう指示していたが、その指示が実行されているかを確認する作業を怠っていた。
エクイファックス社はまた、連邦政府に支払う7億ドルとは別に、個人に補償するために最大4億2500万ドルを支払う。これは一人当たり約3ドル(300円)の計算。さらに、個人情報が流出した被害者らに対して、自らの与信情報をモニタリングするサービスも提供する。また、全米48の州とワシントンDC、プエルトリコ政府に対して1億7500万ドルを支払うほか、消費者金融保護庁に対しては1億ドルを支払う。
この和解に合意したことで、全米50州および連邦取引委員会が約2年間にわたって行なってきた捜査は終結する。
この全米史上最悪の個人情報流出事件がきっかけとなり、消費者保護団体らが3大クレジットビューロー(Equifax、TransUnion、Experian)に対する監視を強化するよう声を上げていた。これを受け、今年2月、民主・共和両党の議員たちで構成される下院委員会が開かれ、そこでは3大クレジットビューローが大きく非難され、同委員会のマクシーン・ウォーターズ議長は、消費者の与信履歴を管理する業界に対する規制を強化すると約束していた。しかし国会議員は、未だ具体的な政策を打ち出していない。
日本でも、ソフトバンクBB(当時)が運営するYahoo! BB(2004年2月27日に発覚)やベネッセ(2014年7月9日に発覚)から個人情報が漏洩し、被害者である個人に補償金が払われたことを記憶している人も多いだろう。その時はソフトバンクBB(当時)は、個人情報が漏洩したのは約450万人であったが、「Yahoo! BB全会員に金券500円を配り謝罪した」。そしてベネッセは、流出したのは約3504万件であり、1人500円分の金券をお詫びをすると発表していた。
日本では、個人情報が流出した際の個人補償が500円というのが、この時から基準になったような印象がある。アメリカでは、これら2件の漏洩事件よりも深刻な個人情報が流出したにも関わらず、日本で支払われた補償金よりも低い3ドルとなっている。結局、エクイファックス社が支払うほとんどの賠償金や罰金は、被害者である個人にではなく、政府と集団訴訟を担当した弁護士に支払われるという結果となっている。
BonaFidrをフォロー