headless 曰く、

米国・フィラデルフィアの第3巡回区控訴裁判所は24日、十分なITセキュリティ対策をとっていない企業に対し、連邦取引委員会（FTC）が規制を行う権限があるとの判断を示した（控訴裁判所の意見書PDF、Ars Technica、 Big Law Business）。

この裁判はFTCとウィンダムワールドワイドの間で争われているもの。ウィンダムは2008年と2009年に3度にわたるサイバー攻撃を受け、ウィンダムホテルグループのホテル・リゾートを利用した宿泊者61万9年人分以上のカード情報などを流出させた。その結果、カードの不正使用による計1,060万ドル以上の被害を出している。

FTCでは2012年、ウィンダムが顧客のクレジットカード情報を暗号化せずに保存することをフランチャイズのホテルに許可していた点や、簡単に推測可能なログインパスワードを管理ソフトウェアで使用していた点などを挙げ、顧客情報を適切に保護しなかったとして連邦地裁に提訴。ウィンダム側は自分たちもサイバー攻撃の被害者であり、情報流出についてFTCが処分を行うべきではないと反論したが、地裁はウィンダムの主張を却下していた。

控訴裁判所では地裁の判断を支持し、連邦取引委員会法で定める不公正・欺瞞的な行為または慣行の禁止がサイバーセキュリティーにも及ぶとして、FTCに規制を行う権限があると述べている。FTCによる提訴が適切だとする控訴裁判所の判断が下されたことから、今後は再び地裁で裁判が継続することになる。

米政府では個人情報を扱う企業に要求するセキュリティレベルを定めてはいないが、FTCではセキュリティへの投資を企業に求めているという。オバマ政権は2月、企業に対して収集する個人情報の透明性確保といった原則に従った行動を義務付ける権限をFTCに与え、顧客が自らの個人情報をコントロール可能にする提案を行っているとのことだ。