米国のエドテックプロバイダーである Illuminate Education は、1,000万人分の生徒データの窃取を攻撃者から防げなかったとして、米連邦取引委員会(FTC)からお咎めを受けた。
FTC は同社に対して是正措置を要求したものの、罰金や刑事訴追は行わなかった。これは 2021年12月末、同社を3年以上前に退職した元従業員の認証情報を悪用した不正者が、同エドテック企業のクラウドベースのデータベースに侵入した事件を受けたものだ。
Illuminate の侵害により、1,010万人分の生徒に紐づく極めて機微な記録が露出した。メールアドレスや郵送先住所、生年月日、生徒記録、さらには健康関連情報まで含まれていた。
Illuminate は学区に対し、自社を生徒情報の「信頼できる管理者」として売り込み、「自分たちの情報であるかのように」データを扱うと約束していた。また、暗号化やその他の一般的な対策を含め、セキュリティ体制がベストプラクティスに準拠しているかのような契約文言を用いていた。
しかし FTC によれば、同社はそうした約束を守れなかった。早くも 2020年1月の時点で、第三者ベンダーが Illuminate に対し、ネットワーク上の「多数のセキュリティ脆弱性」について警告していたにもかかわらず、同社はその穴を塞ぐための対応をほとんど取らなかったとされている。
指摘された不備には、少なくとも 2022年1月まで生徒データを平文で保存していたこと、妥当なアクセス制御が欠如していたこと、脅威検知・脆弱性監視・パッチ管理を怠っていたことなどが含まれる。さらに致命的なのは、一部の学区への侵害通知を遅らせたことであり、その結果、約38万人の生徒がほぼ2年間にわたり事態を知らされないままだったと訴状は述べている。
「Illuminate は子どもたちの個人情報を保護すると約束しながら、それを果たせませんでした」と、FTC 消費者保護局長のクリストファー・ムファリッジ氏は組織のプレスリリースで述べた。「今回の措置は、企業に対し、特に子どもの医療診断やその他の個人データが関わる場合、プライバシーに関する約束を守れなければ FTC が責任を追及するという重要な警鐘です。」
FTC との和解の一環として、Illuminate は不要な個人データを削除し、データ保持スケジュールを公開・順守し、生徒データの機密性・完全性・可用性を対象とする詳細な情報セキュリティプログラムを導入しなければならない。提案命令では、同社がセキュリティ対策や侵害通知の方法について誤解を招く表現を行うことも禁じている。ただし、FTC は同社に対して罰金を科してはいない。
FTC は、この訴状と命令案を 2 対 0 で承認し、最終決定前に 30 日間のパブリックコメント期間を設ける。
学区や保護者からの信頼を基盤としてきた企業にとって、これは苦い現実だ。「物理的・電子的・手続き的」な保護策をうたう華々しいウェブサイトの文言も、いざという時には通用しなかった。FTC の今回の措置は、エドテック企業全般へのより広い警告でもある。プライバシーやデータセキュリティをいくら誇張して宣伝しても、基本的な対策を満たせないのであれば、厳しい精査を受ける覚悟が必要だということだ。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/02/ftc_illuminate/
