データのセキュリティとプライバシーに関心がある場合は、次の内容をお読みください。 FTC と Ruby Corporation、ruby Life Inc.、および ADL Media Inc. (AshleyMadison.com を運営する企業) との和解。
AshleyMadison.com は、「100% 安全で匿名」の出会い系サイトを宣伝しました。 「Trusted Security Award」のアイコンと、その Web サイトが「100% 慎重なサービス」であることを示す画像を含めることで、その主張を強化しました。
このウェブサイトは、あなたの街に「何千人もの女性」がいるという約束であなたを誘い込みました(念のため言っておきますが、米国のプロフィール 1,900 万件のうち約 1,600 万件は男性でした)。次に、実際の女性ユーザーであるかのようにコミュニケーションをとるスタッフによって作成された偽のプロフィールである「エンゲージメント プロフィール」を使用しました。同社は、しばらくアカウント活動を行っていない既存のメンバーからの情報を使用してこれらのプロファイルを作成しました。多くの場合、無料のユーザーが完全なメンバーシップにアップグレードして、本物のユーザーであると信じていたが、実際には偽のプロフィールだった相手にメッセージを送信できるようになりました。
Web サイト上での自分の活動が他人に知られることを懸念するユーザーに対して、Web サイトは「デジタル証跡を削除」できると約束しました。 19 ドルで、AshleyMadison.com からすべての情報を削除することを約束する「完全削除」を購入できます。ここで話しているのは次のような情報です。関係ステータス。性的嗜好と望ましい出会い。希望する活動。写真。そして財務情報。人々が公にしたくない情報のように聞こえますよね?
2015 年 7 月、「インパクト チーム」と呼ばれるグループがアシュリー マディソンさんのコンピューター システムをハッキングしました。このグループは、アシュリー・マディソンが閉鎖しない限り、ウェブサイトのユーザー情報をすべて公開すると脅迫した。同社が躊躇すると、同グループは 3,600 万人のユーザーに関する個人情報を公開した。それは多くの人々の非常に個人的な情報です。
そこには、「完全削除」の費用を支払った人々からの情報も含まれていました。アシュリー・マディソンは「完全削除」後、個人情報を最大12か月間保持し、プロファイルを完全に削除できなかった場合もあったことが判明した。
どうしてこんなことになったのでしょうか? FTC の訴状では、AshleyMadison.com が、合理的なデータ セキュリティを提供できなかった次のような行為を行ったと主張しています。
- 書面による情報セキュリティポリシーの欠如
- 合理的なアクセス制御の実装の失敗
- データセキュリティについて担当者を適切に訓練していない
- サードパーティのサービスプロバイダーの監視の失敗
これらの基本原則はすべて、FTC の「Start with Security」ガイドに概説されています。
FTC の 5 つの訴状では、欺瞞と不公平の両方が主張されています。欺瞞の数には次のものが含まれます。AshleyMadison.com が安全であることを保証するために同社が合理的な措置を講じたという虚偽の表示。エンゲージャーのプロフィールが実際の女性のものであるという虚偽の表示。プロフィールの削除に関する虚偽の表示。データ セキュリティ シールに関する虚偽表示 (ご想像のとおり、書面によるデータ セキュリティ ポリシーを持たない企業は実際には「Trusted Security Award」を受賞していません)。最後に訴状では、同社の不当なセキュリティ慣行が消費者に損害を与えた、または損害を与える可能性があると主張している。
FTC と Ruby Corporation およびその子会社との和解により、両社がこうした種類の虚偽表示を行うことが禁止された。また、包括的な情報セキュリティ プログラムを維持し、隔年で評価を受けることも求められます。
FTC はこれだけに関与しているわけではありません。 FTCの和解は13の州とコロンビア特別区と連携して行われる。 FTC はカナダとオーストラリアの国際取引機関からも支援を受けました。に基づいて 共同捜査、カナダのプライバシー委員会は、 コンプライアンス協定 とオーストラリア情報コミッショナー局は協定を締結しました。 強制力のある事業 トロントを拠点とする Ruby Corporation と提携。これらの契約は、企業のデータセキュリティとデータ保持ポリシーを改善するための是正措置に焦点を当てています。
では、アシュリー・マディソン事件から得られた教訓は何でしょうか?企業は約束を守らなければなりません。また、機密性の高い個人情報を収集した場合は、それを保護する必要があります。
その方法の詳細については、「個人情報の保護: ビジネス向けガイド」および「セキュリティから始める: ビジネス向けガイド」を参照してください。さらにコンプライアンス リソースについては、Business Center のプライバシーとセキュリティ ポータルにアクセスしてください。
