モルガン・スタンレー・スミス・バーニー(MSSB)は、数百万人の顧客の個人情報(PII)の保護を怠ったとして、米国政府から巨額の罰金を科せられました。SECは月曜日に発表した通知の中で、同社が顧客データの保護と廃棄に関する連邦規制に違反したというSECの判断に同意したと発表しました。これを受け、MSSBは3,500万ドルの罰金を支払うことに同意しました。
モルガン・スタンレー・スミス・バーニーはなぜ罰金を科せられたのですか?
この調査結果は、MSSBが顧客の個人情報(PII)が保存されているハードウェアを適切に廃棄していなかった2015年まで遡る行為に端を発しています。SECによると、同社は顧客データが保存されている数千台のハードドライブとサーバーの廃棄を複数回にわたって委託されたにもかかわらず、データ破壊の経験のない引っ越し・保管業者を雇用し、その作業を監視していなかったとのことです。
当局の調査により、引っ越し業者は数千台のサーバーとハードドライブを第三者に売却していたことが判明しました。その中には顧客の個人情報が保存されていたものもありました。これらのデバイスは最終的にインターネットオークションサイトで転売されましたが、顧客データは保存されたままでした。MSSBは一部のデバイスを回収しましたが、42台のサーバーを含むほとんどのデバイスは依然として行方不明です。回収されたデバイスには暗号化されていない顧客情報が含まれていました。同社は暗号化オプションを装備していたにもかかわらず、その機能を有効にすることを怠っていました。
「今回の件におけるMSSBの不手際は驚くべきものだ」と、SEC執行部門のガービル・グレワル部長は述べた。「顧客は金融専門家に個人情報を託す際、それが保護されるという理解と期待を抱いている。しかし、MSSBはそれを完全に無視した。適切に保護されなければ、この機密情報は悪意ある者の手に渡り、投資家にとって壊滅的な結果をもたらす可能性がある。」
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
MMSBの反応はどうでしたか?
MSSBはSECの命令に従い、調査結果の真偽を否認することなく罰金を支払うことに同意した。TechRepublic宛ての声明の中で、MSSBの広報担当者は次のように述べている。「この問題が解決できたことを嬉しく思います。数年前に発生したこれらの問題については、既に関係する顧客に通知しており、顧客の個人情報への不正アクセスや不正使用は確認されていません。」
しかし、MSSBはこの一連の出来事において明らかにいくつかのミスを犯しました。引っ越し・保管業者を適切に審査しておらず、その業者の業務を監視していませんでした。さらに、暗号化のオプションがあったにもかかわらず、適切な暗号化を実施していませんでした。
「MSSBのケースは、ハードドライブとサーバーを第三者に提供しながら、個人情報を平文で保管していたという点で特異です」と、セキュリティ企業Pianoの共同創業者兼CEOであるギル・ダバ氏は述べています。「通常、攻撃者はソーシャルハッキングや既知の脆弱性を利用して認証情報を入手する必要があります。個人情報への不正アクセスを防ぐには、アクセス制御、トークン化、マスキングなど、いくつかの防御策が必要です。今回のケースでは、単純な暗号化で問題は解決できたはずです。」
この罰金と MSSB の個人データ保護の失敗は、機密性の高い顧客情報を収集し保管する他の組織への警鐘となるはずだ。
「罰金の額は、組織内でデータセキュリティがいかに可視化されるべきかを物語っています」と、セキュリティ企業PathlockのCMO、マイク・プターボー氏は述べています。「これは取締役会レベルの説明責任問題として捉えるべきだと言わざるを得ません。このニュースは、データセキュリティ能力(ツール、プロセスなど)の見直し、そして内部監査にデータセキュリティ管理策のテストと検証が含まれるようにするための行動喚起を促すはずです。」
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
組織へのアドバイス
組織はどのようにして顧客データを適切に保護し、規制上または法律上の問題を回避できるでしょうか?
「組織は、データ盗難の最も魅力的なターゲット、つまりすべての企業が依存しているビジネス アプリケーションから始める必要があります」と Puterbaugh 氏は述べ、具体的な例として ERP、HR、サプライ チェーン アプリを挙げました。
プターボー氏によると、適切なデータセキュリティを実現するには、組織がセキュリティ対策をテストするための必要なツールを備える必要がある。これには、誰がどのタスクを実行できるかを決定するロールベースのアクセス制御や、データを動的に保護するように設計されたポリシーベースのアクセス制御が含まれる。
「企業の取締役会や経営陣が理解すべき重要な点は、データセキュリティにおいては、ビジネス(機密データを保存するビジネスアプリケーションに依存する事業部門)とIT(より広範なシステムの保護とセキュリティ確保の責任を負う)が協力して、機密データを保護するための効果的なポリシーを作成することが必要だということです」とプターバウ氏は付け加えた。
組織で機密性の高い電子データを適切に廃棄するためのポリシーが必要な場合は、TechRepublic Premium が役立ちます。今すぐダウンロードして、さらに役立つリソースにアクセスするには、こちらをクリックして購読してください。
