ワシントン州、大規模なデータ漏洩でウーバーを相手取り初の州訴訟、数百万ドルの罰金求める
モニカ・ニッケルズバーグ著
ワシントン州司法長官ボブ・ファーガソン氏は、世界中のウーバーの運転手と乗客5,700万人の個人情報を漏洩させた大規模なデータ侵害を報告しなかったとして、キング郡上級裁判所にウーバーを提訴した。
ワシントン州は、この情報漏洩をめぐってウーバーを訴えた最初の州であり、ファーガソン氏の訴訟は、同州の消費者プライバシー法が2015年に改正されて以来初めての訴訟となる。
運転免許証番号は、この侵害行為の一環として漏洩しました。Uberは被害者に通知する代わりに、2016年10月の事件を隠蔽するために、侵害行為の背後にいるハッカーに金銭を支払ったことを認めました。訴状によると、この侵害行為により、ワシントン州内のUberドライバー10,888人の個人情報が漏洩しました。
数百万ドル規模の訴訟は、Uberがワシントン州の改正データ漏洩法に違反したと主張している。同法は、「個人情報を含むセキュリティ侵害によって被害を受けるリスクのあるワシントン州住民に対し、個人、企業、および公的機関に通知を義務付ける」と定めている。被害者には、侵害発覚後45日以内に通知する必要がある。侵害が500人以上のワシントン州住民に影響を与える場合、司法長官事務所にも通知する必要がある。
ウーバーは、情報漏洩を発見してから約372日後の2017年11月21日にファーガソン氏の事務所に情報漏洩について報告した。
「Uberは、正しい行動を取り、法律を遵守し、ワシントン州民数千人に危険にさらされていることを伝える代わりに、ハッカーに金銭を支払ってデータを削除させ、侵害について誰にも公表しませんでした」とファーガソン氏は火曜日の記者会見で述べた。「これは驚くべきことです。法の精神と文言に違反しています。」
ファーガソン氏は、今回の訴訟はウーバーから既に提供された情報に基づいていると述べた。同氏の事務所は、訴訟の進展に伴い、更なる調査を行う予定だ。
先週、情報漏洩のニュースが報じられた後、Uberはセキュリティ責任者と、この隠蔽に関与した別の従業員を解雇した。Uberユーザーの個人情報を漏洩させたハッカーたちは、同社のエンジニアが利用していたGitHubサイトから盗み出した認証情報を利用して、同社のAmazon Web Servicesアカウントに侵入する方法を解明した。
「過去を消すことはできませんが、Uberの全従業員を代表して、私たちは間違いから学ぶことをお約束します」と、UberのCEOであるダラ・コスロシャヒ氏は声明で述べた。「私たちはビジネスのやり方を変え、あらゆる意思決定の中核に誠実さを置き、お客様の信頼を得るために懸命に取り組んでいます。」
コスロシャヒ氏は8月にエクスペディアのCEOを退任し、ウーバーのCEOに就任し、数ヶ月にわたって積み重なってきた論争の嵐から同社を救い出すことを目指した。先週の声明で、コスロシャヒ氏は情報漏洩とウーバーの対応について徹底的な調査を求めたと述べた。
ファーガソン氏は、違反1件につき最大2,000ドルの民事罰金を求めており、ウーバーが敗訴した場合、数百万ドルの損害賠償が科される可能性がある。州はまた、ウーバーに対し、訴訟に関連する費用と手数料の負担を求めている。
「我が国の法律は明確です」とファーガソン氏は火曜日の記者会見で述べた。「データ漏洩によって消費者が危険にさらされた場合、企業は消費者にその旨を伝えなければなりません。これは当然のことです。」
苦情の全文は以下をご覧ください。
GeekWireによるUber訴訟(Scribd)
