Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

データ漏洩の隠蔽はリスクも大きい

 Uberの5700万件を超える大型データ流出事件は、罰金も大きくなってしまったようです。

jp.techcrunch.com

Uberが2016年に顧客5700万人の名前や電子メールアドレス、電話番号などのデータを流出させた件に対する制裁金はさらに100万ドル超上積みされた

2カ月前にこの配車サービス大手は、米国でのデータ流出に関係する法的問題を解決するため50州、加えてワシントンD.C.と和解し、制裁金1億4800万ドルを払うことに合意した。

しかしながら流出には欧州のユーザーのデータも含まれていた。そして昨日、英国のデータ保護当局であるICOは英国の法規制に基づき、38万5000英ポンド(約49万ドル)の制裁金を科すと発表した。

オランダのデータ保護当局もまた昨日、オランダの法に違反したとして60万ユーロ(約67万ドル)の制裁金を科したEUの法律適用においては、英国とオランダでのデータ流出はEUの法律が施行される前のことだったとしてUBERは巧みに回避した。

(TechCrunch記事より引用)

 

◆キタきつねの所感

Uberのデータ漏洩事件、隠蔽したのが悪質であるとして、かなり高額な罰金が科されていますが、問題なのは、この制裁金に最大のデータ漏洩があった米国の「個人訴訟」関連の費用が乗ってくるという点かも知れません。

 

GDPRの対象外の事件(GDPR施行は2018/5/25)という事もあり、この金額で済んでいるともいえますが、仮にGDPRの対象内だったと考えると、、全世界売上の4%か2000万ユーロの高い方が最大の罰金額となる訳であり、売上4%だと(8100億円×0.04=324億円)、2000万ユーロは25億円位でしょうか、、もしGDPRの対象だった場合、300億円以上の罰金になっていた可能性があります。

www.bloomberg.co.jp

前回の記事で、Uberの1件当たりの漏洩コストを2.59ドルと試算しましたが、対応費用や訴訟、そして今回の様な追加の罰金(課徴金)なども考えると、このコストは更に上昇しそうです。

セキュリティ対策を行わない、あるいは企業の社会的責任を果たさずに事件を隠蔽するリスクのベンチマークとして、このUberは良い教材と言えるのではないでしょうか。

 

foxsecurity.hatenablog.com

 

当て逃げのイラスト

 

更新履歴

  • 2018年11月30日PM(予約投稿)