Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

ウーバーは高い授業料を払う

去年のウーバーの続報記事が出ていました。

forbesjapan.com

2016年にウーバーはネットワークにハッカーの侵入を許し、世界5700万人(2500万人が米国人)の個人データが盗まれていた。

それから2年が経過した9月26日、ウーバーは1億4800万ドル(約170億円)の和解金を支払うことで、全米50州と合意した。「ワシントン・ポスト」によると、情報流出に関連する政府との和解金としては米国史上最大の額だという。

(ForbesJapan記事より引用)

 

◆キタきつねの所感

去年に記事を書いていますが、ウーバーはハッカーに対し10万ドルの口止め料をバグ報償金プログラムを使い(悪用し)支払い、事件を当初隠蔽しようとしていました。それが新しいCEOの元で改めて社内調査し、事件が公表されたのですが、結果として高い授業料となってしまった感があります。

 

ハッキングを受け、個人情報を漏えいしてしまう事というのは、今やどの企業にもリスクとして普通にある事になってしまってますが、5700万人の個人情報に対して1億4800万ドルのペナルティ(和解金)というのは、事件を隠蔽しようとしたウーバーに対し、企業が果たす社会的責任が厳しく問われたと言えるかも知れません。

単純比較ができるものではないかも知れませんが、

  • Target(2013年): 4000万件漏洩で47州との和解金が1850万ドル 
  • Anthem(2015年) : 8000万件漏洩で集団訴訟への示談金が1億1500万ドル 

であったとされています。1人当たりの漏洩コストと考えると、

  • Target:  1件当たり0.46ドル
  • Anthem:  1件当たり1.44ドル
  • Uber:   1件当たり2.59ドル

となるのですが、年々漏洩に対する和解/示談コストは上がっている事は注目すべきだと思います。

企業がきちんとしたセキュリティ対策を含む、社会的責任を果たさない場合のコストは上昇しつつあり、今後もその傾向は変わらない事をよく考えるべきなのではないでしょうか。

 

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

壁に追突した車のイラスト(事故)

 

更新履歴

  • 2018年9月29日PM(予約投稿)