ウィンダムとFTCとの和解: それが企業と消費者にとって何を意味するか

データセキュリティ監視者は、今年初めに米国控訴裁判所が下した判決を興味深く読んでいます。 FTC 対 ウィンダム、FTC法の不公平性の観点から、緩いとされるデータセキュリティ慣行に異議を唱えるFTCの権限を支持する。私たちはこの判決を、消費者と、顧客の個人情報の安全を守ることに尽力しているあらゆる規模の企業にとって画期的な勝利であると考えています。 ウィンダムに対するFTCの法執行措置に新たな大きな進展があった 誰よりも早く情報を知りたいと思うでしょう。

要約すると、FTC は 2012 年に、データ セキュリティの欠陥が 2 年足らずの間に 3 件の侵害につながったとして、ウィンダムと子会社 3 社を告訴しました。 訴状によるとでは、ハッカーがウィンダムのフランチャイズ加盟店のネットワークに侵入し、ウィンダムの企業ネットワーク上の緩いセキュリティを悪用して、他の数十のウィンダムのフランチャイズ加盟店から消費者の機密データを盗み出しました。これらの侵害により、数十万人の消費者に関するアカウントデータがロシアに登録されているウェブサイトに転送され、消費者のクレジットカードやデビットカードに数百万ドルの不正請求が発生しました。 地方裁判所は判決を下した FTCにはFTC法に基づいてウィンダムの行為に異議を申し立てる権限があると主張した。第三巡回裁判所はその法的問題に対する即時抗告を審理し、 FTCに有利な判決を下した

本日、FTCとウィンダムが発表した。 和解案 ケースの中。詳細については命令を読んでいただく必要がありますが、次の注意事項を確認してください。

提案されている命令の第 1 部に基づき、企業は支払いカード番号、名前、有効期限を含むカード所有者のデータを保護するための包括的な情報セキュリティ プログラムを確立し、今後 20 年間、関連する年次情報セキュリティ監査を毎年実施する必要があります。

さらに、この命令はウィンダムに対し、ウィンダム ブランドのホテルと企業データ センター間のネットワーク接続から生じるリスクを特に考慮することを要求しています。訴状で主張されている違反はこれらの接続の弱点から生じたものであるため、FTC はこれを必須の条項とみなしている。

命令の第 2 部では、ウィンダムに対し、ペイメント カード業界のデータ セキュリティ基準 (ほとんどの企業では PCI DSS として知られています。クレジット カードを受け入れる企業の業界基準) に基づいて独立した評価を毎年受けることが求められています。しかし、それで終わりではありません。パート II には、PCI DSS で求められる内容を強化するための追加規定が含まれています。これらの追加規定には、独立した第三者監査人に次のことを証明するよう要求することが含まれます。

  • ウィンダムはフランチャイズ加盟ホテルとのつながりを守ります。
  • ウィンダムは、PCI-DSS リスク評価ガイドラインに規定されている包括的なリスク評価に取り組んでいます。そして
  • 監査人はウィンダムから完全に独立しています。

第 II 部で要求される独立した評価により、ウィンダムが完全に準拠していることが確認された場合、FTC は、第 I 部で要求される包括的な情報セキュリティ プログラムにも準拠しているとみなします。ただし、ウィンダムが何らかの形で監査人を欺いたり、監査後にシステムを大幅に変更したりした場合、すべての賭けは外れます。

の遺産は何ですか FTC 対 ウィンダム?初め、 控訴裁判所の決定 FTC が不当なデータ セキュリティ慣行に異議を唱えるために第 5 条を利用することを確認します。第 2 に、この訴訟の教訓と、FTC の他の 50 件を超えるデータ セキュリティに関する和解は、他の企業に、日常業務に賢明なセキュリティを組み込むための指針を提供します。

FTC は、企業がセキュリティから始めるのを支援する無料のリソースを提供しています。