連邦取引委員会(FTC)は、教育テクノロジープロバイダーであるIlluminate Educationに対し、不要な学生データを削除し、セキュリティを改善するよう求めている。これは、1,000万人の学生の情報が流出した2021年のインシデントに関連する疑惑を解決するための和解案として提案されているものだ。
この機関の決定は、カリフォルニア州、コネチカット州、ニューヨーク州が同じインシデントに関連してIlluminateに対する訴訟を510万ドルで和解することに合意した直後に出された。
Illuminate Educationは、K-12(幼稚園から高校まで)の学校および学区向けのクラウドベースのテクノロジー製品ベンダーである。
同社は、学業成績、評価、出欠、時間割、人口統計および行動データを網羅する学生データを収集・整理・分析・報告するためのツール群を提供している。
このようなデータは対象がセンシティブであるため保護の必要性が高いにもかかわらず、FTCによると同社のセキュリティプログラムは複数のレベルで不十分であり、アクセス制御の欠如、検知と対応の不備、脆弱性監視およびパッチ適用の弱さ、さらには平文での保存などがあったという。
Illuminateのセキュリティ上の不備は2021年12月に露呈した。ハッカーが、同社を3年以上前に退職した元従業員の認証情報を使ってシステムにアクセスしたためだ。
- メールアドレス
- 住所
- 生年月日
- 学生記録
- 健康関連情報
FTCは、Illuminateがサードパーティベンダーから、自社ネットワークがセキュリティ上の欠陥だらけであるとの警告を受けていたことを指摘している。しかし同社はそれらを是正するための行動を一切取らず、2022年1月まで学生データを平文で保存し続けていた。
同社はまた、契約書の中で「自社の慣行および手順は民間業界のベストプラクティスを満たすか、それを上回るよう設計されている」と主張し、その一例としてデータ暗号化を挙げるなど、学校に対して自社のセキュリティ姿勢やデータ保護対策を誤って伝えていた。
FTCによると、Illuminateはインシデント発生から2年間、影響を受けた学区への通知を行わず、その間、被害を受けたユーザーをフィッシングやその他の攻撃のリスクにさらし続けた。
これらの理由から、FTCは疑惑を解決するための条件として、同社にデータセキュリティプログラムを通じた防御体制の強化を求めている。
この合意の一環として、Illuminateは不要なデータをすべて削除し、公的なデータ保存スケジュールに従い、自社のセキュリティ慣行について誤解を招く表現をやめ、他の当局にデータ侵害インシデントを報告する際にはFTCにも通知しなければならない。
この命令は現在最終化の段階にあり、まもなく30日間のパブリックコメント募集が開始される。最終命令に違反した場合、1件あたり最大51,744ドルの民事制裁金が科される可能性がある。
