オーストラリア情報コミッショナー(AIC)は、2022年に発生したデータ漏洩により950万人のオーストラリア人の個人情報が流出した件で、Optusに対して民事訴訟を起こしました。
この訴訟では、通信会社Optusが被害者の個人情報を不正アクセスや開示から保護するために合理的な措置を講じなかったとされており、これはオーストラリアのプライバシー法(Privacy Act 1988)に違反するものです。
調査の結果、AICはOptusのセキュリティ対策が、通信事業者が保有する個人情報の性質や量に見合ったものではなかったと結論付けました。
オーストラリア・プライバシーコミッショナーのカーリー・カインド氏は次のようにコメントしています。「Optusのデータ漏洩は、特に個人情報を保持する内部データベースと連携する外部向けウェブサイトやドメインに関連するリスク、またサードパーティプロバイダー利用に関するリスクを浮き彫りにしています。」
さらに彼女は続けて、「個人情報を保有するすべての組織は、強固なデータガバナンスとセキュリティ対策を確実に実施する必要があります。これらは徹底的かつ組織に根付いたものでなければならず、脅威行為者が悪用しようとする脆弱性から守るために必要です。」と述べました。
AICは、950万人の被害者それぞれに対するプライバシー法違反1件ずつについて、Optusに対し民事制裁命令を連邦裁判所に申請しました。
裁判所は違反1件につき最大222万ドルの制裁金を科す権限を持っており、Optusは巨額の経済的制裁に直面する可能性があります。
2022年12月には、科される最大民事制裁金が違反1件につき5000万ドルに引き上げられました。しかし、今回の件は2019年10月17日から2022年9月20日までに発生した違反が対象のため、これは適用されません。
「民事制裁命令が出されるかどうか、またその金額は裁判所の判断事項です」とAICは8月8日付のリリースで述べています。
Optusの大規模データ漏洩が注目の的に
シドニーに本社を置くOptusは、2022年9月にサイバー攻撃を受けたことを公表し、約1000万人の現・元顧客のデータがアクセスされた可能性があることを明らかにしました。
このデータには、以下を含む機微な個人識別情報が含まれていたことが判明しました。
- 氏名、生年月日、自宅住所、電話番号、メールアドレス
- パスポート番号、運転免許証番号、メディケアカード番号、出生証明書情報、結婚証明書情報、軍隊・防衛・警察の身分証明情報など、政府関連の識別子
Optusは、顧客の支払い情報やアカウントパスワードの盗難はハッカーから防ぐことができたと述べています。
攻撃者は、データがオンラインで販売されるのを防ぐためにOptusに身代金を要求したと報じられています。しかしその直後、犯行を主張するハッカーが、BreachForums上で盗まれた情報の一部を含むデータベースを削除し、データが流出した1万人のオーストラリア人に謝罪したとされています。
攻撃者は、認証を必要としない設定ミスのあったAPIを悪用してデータセットにアクセスしたと報じられています。
訴訟に対するOptusの対応
Optusは声明で、AICの主張を精査していると述べました。
「Optusは、2022年のサイバー攻撃が発生したことについて、改めてお客様および広くコミュニティの皆様にお詫び申し上げます。私たちは日々お客様の情報を守るために努力しており、サイバー攻撃による影響を最小限に抑えるために懸命に取り組んできました」と同社は述べています。
さらに、「サイバー脅威環境が進化する中で、お客様とその個人情報のセキュリティはかつてないほど重要になっています。今後もお客様の情報、システム、サイバー防御能力への投資を続けていきます」と付け加えました。
画像クレジット: T. Schneider / Shutterstock.com
オーストラリア情報コミッショナー(AIC)は、2022年に発生したデータ漏洩により950万人のオーストラリア人の個人情報が流出した件で、Optusに対して民事訴訟を起こしました。
この訴訟では、通信会社Optusが被害者の個人情報を不正アクセスや開示から保護するために合理的な措置を講じなかったとされており、これはオーストラリアのプライバシー法(Privacy Act 1988)に違反するものです。
調査の結果、AICはOptusのセキュリティ対策が、通信事業者が保有する個人情報の性質や量に見合ったものではなかったと結論付けました。
オーストラリア・プライバシーコミッショナーのカーリー・カインド氏は次のようにコメントしています。「Optusのデータ漏洩は、特に個人情報を保持する内部データベースと連携する外部向けウェブサイトやドメインに関連するリスク、またサードパーティプロバイダー利用に関するリスクを浮き彫りにしています。」
さらに彼女は続けて、「個人情報を保有するすべての組織は、強固なデータガバナンスとセキュリティ対策を確実に実施する必要があります。これらは徹底的かつ組織に根付いたものでなければならず、脅威行為者が悪用しようとする脆弱性から守るために必要です。」と述べました。
AICは、950万人の被害者それぞれに対するプライバシー法違反1件ずつについて、Optusに対し民事制裁命令を連邦裁判所に申請しました。
裁判所は違反1件につき最大222万ドルの制裁金を科す権限を持っており、Optusは巨額の経済的制裁に直面する可能性があります。
2022年12月には、科される最大民事制裁金が違反1件につき5000万ドルに引き上げられました。しかし、今回の件は2019年10月17日から2022年9月20日までに発生した違反が対象のため、これは適用されません。
「民事制裁命令が出されるかどうか、またその金額は裁判所の判断事項です」とAICは8月8日付のリリースで述べています。
Optusの大規模データ漏洩が注目の的に
シドニーに本社を置くOptusは、2022年9月にサイバー攻撃を受けたことを公表し、約1000万人の現・元顧客のデータがアクセスされた可能性があることを明らかにしました。
このデータには、以下を含む機微な個人識別情報が含まれていたことが判明しました。
- 氏名、生年月日、自宅住所、電話番号、メールアドレス
- パスポート番号、運転免許証番号、メディケアカード番号、出生証明書情報、結婚証明書情報、軍隊・防衛・警察の身分証明情報など、政府関連の識別子
Optusは、顧客の支払い情報やアカウントパスワードの盗難はハッカーから防ぐことができたと述べています。
攻撃者は、データがオンラインで販売されるのを防ぐためにOptusに身代金を要求したと報じられています。しかしその直後、犯行を主張するハッカーが、BreachForums上で盗まれた情報の一部を含むデータベースを削除し、データが流出した1万人のオーストラリア人に謝罪したとされています。
攻撃者は、認証を必要としない設定ミスのあったAPIを悪用してデータセットにアクセスしたと報じられています。
翻訳元: https://www.infosecurity-magazine.com/news/australian-regulatory-sues-optus/