経営幹部と従業員に個人的な責任を負わせる考えは、ITおよびサイバーセキュリティコミュニティと国際的な政治の舞台で注目を集めているようです。いくつかの具体例を探り、これがサイバーセキュリティの将来にどのような影響をもたらす可能性があるかを考察してみましょう。
2009年、Websense(現在のForcePoint)による調査データによれば、104人のセキュリティ専門家を対象とした調査で、30%の回答者が企業のリーダーがセキュリティに関する不備について責任を負うべきだと考えていました。回答者たちは「CEOや取締役会のメンバーは、消費者の機密データを漏洩させたことで刑務所に服役すべきだ」と述べていました。当時、これはデータ漏洩に関する責任とその結果に対するかなり斬新な意見でしたが、それは本当でしょうか?
それ以来、この考えに対する支持はますます高まる傾向があるようです。過去数年にわたり、データ漏洩への対応として実際に刑事訴訟と有罪判決が下されるようになっています。私たちはこれらの攻撃を実行しているサイバー犯罪者に対する告発ではなく、明白な怠慢や無謀な行動のために標的となった組織の経営幹部や他の従業員に対する訴訟や刑事告発を指しています。
2020年、Gartnerは2024年までに、3人に1人のCEOがサイバーアタックやサイバーフィジカルセキュリティシステム(CPSs)に関連するセキュリティインシデントに「個人的に責任を負う」と予測しました。 Gartnerのアナリストは、これらのシステムのセキュリティを確保するための予算が少なく、これらのシステムのセキュリティを優先しないため、危険なまたは致命的なインシデントが増加すると予測しています。
この記事では、サイバーセキュリティインシデントやデータ漏洩に対するCEO、経営幹部、および他の従業員が告発されたり有罪判決を受けたりするいくつかの事例を探究します。詳細についてご紹介しましょう。
企業の幹部は、責任とその結果に対する責任がますます増加しています
企業内での大規模なデータ侵害や重大なサイバーセキュリティインシデントの後、最高経営責任者(CEO)や他の高官が自主的に退任するか、あるいは外部からの圧力で退任することは珍しくありません。これは、2013年のターゲットのデータ侵害や2014年のソニーのデータ侵害の後にも見られました。
しかし、一部のケースでは、単に罰金を科すだけでなく、経営幹部を解雇したり、辞任させたりするだけでは不十分であり、事態の深刻さに応じて、組織や政府の検察当局はより広範な措置を取ることを選択することがあります。フィンランドの精神療法クリニックのCEOが関与した事例がこれを示す具体例です。
フィンランドの精神療法クリニックの元CEOが執行猶予付きの刑を受ける
フィンランドの精神療法センターVastaamoの元CEOであるVille Tapioは、Helsinki District Courtでの訴訟に敗れ、非遵守の罪で一連の刑事告訴を受けました。訴訟は、Tapioが一般データ保護規則(GDPR)のデータ暗号化および匿名化の要件を遵守しなかったと主張しています。検察官は、彼が企業のサイバーセキュリティ防御が不十分であることを知っていただけでなく、2018年と2019年の2つの別々の侵害を報告せず、対処しなかったと主張しました。
Sophosによれば、侵害を実行したサイバー犯罪者は、機密情報を使用してクリニックを約50万ドルで脅迫しました。それがうまくいかなかった場合、彼らは患者に対して、個人ファイルを公に共有されないようにするために各自200ユーロ支払わなければならないと脅しました。24時間以内に支払わない場合、料金は500ユーロ以上に倍増します。
検察官は執行猶予付きの9か月の刑を求めましたが、被告の犯罪歴のなさから、最終的には軽減されました。執行猶予付きの刑は、一定の期間内に同様の犯罪が再び有罪判決を受ける場合を除いて、実刑にはならないということです。
Tapioが個人的に刑事告発を受けた事実自体、業界内での大きな変化です。しかし、彼が受けた刑は、次にリストされているエグゼクティブが面する罪に比べて軽微なものであると言えるでしょう(ただし、次のエグゼクティブが厳しい処罰に値すると誰もが主張できると思います)。
Uberの前CSOが連邦告発で有罪判決を受ける
Uberの元CSOジョセフ・サリバン氏のケースに関する詳細情報を提供します。
- 2016年に発生したUberのデータ侵害事件では、ハッカーがUberのシステムに不正アクセスし、約5700万人以上の乗客とドライバーの個人情報が盗まれました。これには乗客の氏名、電子メールアドレス、電話番号、およびドライバーの運転免許証情報などが含まれていました。
- サリバン氏は、このデータ侵害事件の直後にハッカーたちに対して、データ侵害の詳細を秘密に保つための$100,000相当のビットコインを支払うことで合意しました。また、ハッカーたちに非公開契約(NDA)を課し、彼らに対して盗まれたデータを公にしないように要求しました。
- サリバン氏は、ハッカーたちに支払った金額についてUberの経営陣に報告せず、この事実を隠蔽しました。これにより、事件の重大性を適切に報告しなかったとされ、司法妨害の罪状が提起されました。
- 2022年10月、サリバン氏は連邦裁判所において、司法妨害とデータ侵害を隠蔽した罪で有罪判決を受けました。判決では、サリバン氏に対して15か月の懲役刑、3年間の保護観察、$50,000の罰金、および200時間の社会奉仕が宣告されました。
- この事件は、Uberの経営陣がデータ侵害に対して法的責任を負うケースとして注目され、企業のデータセキュリティとプライバシー保護に関する規制と監視の増加を反映しています。データ侵害に関する法的責任が個人や組織に拡大する傾向が続き、企業はデータセキュリティに対する厳格な対策を講じる必要があります。
- この事件は、個人情報の保護とセキュリティ対策の重要性を再確認させるものであり、データ侵害に関する法的規制と監視がますます強化されていることを示しています。
この事件は、データ侵害に対する法的責任が個人や組織に問われる例として注目され、セキュリティ意識の向上とデータ保護の強化を促しています。
Drizly社とその元CEOが強制捜査に直面
この事件は、デリバリーサービスのDrizlyとその前CEOに対する執行行動に関するものです。デリバリーサービスDrizlyは、お酒をオンラインで注文し、自宅に配達してもらうことができる人気のあるサービスです。2021年初頭、Uberはアルコールデリバリー市場への拡大の一環としてDrizlyを買収しました。
この執行行動は、Drizlyとその前CEOであるCory Rellasに対するもので、2020年7月に発生したデータ侵害に関連しています。このデータ侵害では、Drizlyの約250万人のユーザーの個人情報が漏洩し、氏名、生年月日、住所、電子メールアドレスなどが含まれていました。
データ侵害は、ダークウェブでDrizlyユーザーデータを含むデータベースを発見したセキュリティ研究者によって発見されました。Drizlyは侵害を確認し、影響を受けたアカウントを保護するための対策を講じました。
連邦取引委員会(FTC)は、DrizlyとCory Rellasに対する執行行動を開始し、顧客データを保護するための合理的なセキュリティ対策を実施しなかったと主張しました。 FTCは、会社の不適切なデータセキュリティプラクティスが侵害に寄与したと主張しました。
執行行動の結果、DrizlyとCory RellasはFTCとの和解に同意しました。和解の条件として、Drizlyはユーザー情報を保護する包括的なデータセキュリティプログラムを実施する必要があります。さらに、同社は定期的な第三者のセキュリティ評価を受ける必要があります。
Drizlyの前CEOであるCory Rellasは、会社のデータセキュリティプラクティスを誤って表現し、将来のビジネスで包括的なデータセキュリティプログラムを確立する必要があります。
データ漏洩の結果:企業のリーダーと従業員は個人的責任を負うべきか?
個人がデータ侵害やサイバーセキュリティのインシデントに個人的な責任を負うべきかどうかという問題は、複雑で議論の余地があります。以下は考慮すべき重要なポイントです:
- 規制と法的要件:GDPRなどの特定の規制は、組織が特定の期間内にデータ侵害を監督当局に報告することを要求しています。ただし、これらの規制は主に個人データの保護と影響を受ける個人への通知に焦点を当てています。
- 異なる意見:特に経営幹部や従業員がサイバーセキュリティインシデントについて個人的な責任を負うべきかどうかについては異なる意見があります。一部は責任は責任ある行動を確保するために不可欠であると主張し、他の人はサイバー詐欺の被害者を同情し理解することが同じくらい重要だと考えています。
- 責任と報告のバランス:サイバー詐欺の被害者になった従業員に対する過剰な法的または金銭的措置が、個人がこのようなインシデントを報告するのをためらわせる可能性があるという懸念があります。この恐れは、組織がサイバーセキュリティの脅威を迅速に対処し軽減する能力を妨げる可能性があります。
- 前例を設定する:高プロファイルなケースで採られる行動は、将来のサイバーセキュリティおよびデータ侵害に関連するケースの法的および倫理的基準を形成する可能性があります。責任と理解のバランスを取ることは、公正で効果的な法的フレームワークを作成するために重要です。
要するに、サイバーセキュリティインシデントに対する個人の責任に関する議論は、個人が行動に責任を持つ一方で、従業員が制裁を恐れずにセキュリティインシデントを報告できる職場文化を作成するという広範な課題を反映しています。このようなケースの解決は、サイバーセキュリティ分野における将来の法的および倫理的基準を形成することができます。
サイバー事件と情報漏えいの後、従業員に責任を負わせる雇用主がいる
スコットランドでは、数年前に起きた1つのケースがあります。Peebles Media Groupで働いていたPatricia Reillyは、2015年にビジネスメール詐欺(BEC)の詐欺に騙された後、会社が損失を補填するために107,984ポンドを請求されました。このグラスゴーのメディア会社は最終的にケースに敗訴しましたが、これは雇用主がフィッシング攻撃による損失を回復するために元従業員を訴えることを選択する懸念のある前例を設定しました。
しかし、下位の従業員だけが罰せられるわけではありません。2016年には、航空宇宙製造会社FACCのCEOが、CEO詐欺の電子メールに騙された従業員が5280万ユーロを送金したことに関連して解雇されました。同社の監査役会は、CEO詐欺の電子メールでなりすまされたWalter Stephanが、どのようにして「業務上の義務を重大に違反した」と判断したが、初めは具体的には指摘しなかった。この事件の数か月後、同社の最高財務責任者も解雇されました。
しかし、両エグゼクティブにとって悪いニュースはそこで終わりませんでした。2018年になると、同社は元経営陣に対して1,100万ドルの訴訟を提起しました。しかし、オーストリアの裁判所は後に「Dr. Stephanが監督義務を果たさなかったわけではない」と判断し、このケースを却下しました。
これらの事例は、雇用主が従業員やエグゼクティブを巻き込むサイバー事件に対する異なる反応と、それに伴う法的措置とその結果を示しており、複雑な問題を浮き彫りにしています。
