パスワードを忘れた? アカウント作成
15599346 story
プライバシ

パッチを当てずにランサムウェア被害にあった英法律事務所、情報保護当局から罰金を命じられる 29

ストーリー by nagazou
罰金 部門より
headless 曰く、

英国の刑事事件弁護士事務所 Tuckers Solicitors LLP が不適切なセキュリティ状態のコンピューターで 5 か月にわたって個人情報を処理していたとして、英情報コミッショナー事務局 (ICO) から罰金 98,000 ポンドを命じられている (ICO の通知: PDFThe Register の記事)。

同社は 2020 年 8 月 24 日にランサムウェア攻撃を受けていたことに気付き、翌 25 日には個人情報が侵害されていたとの判断に至る。攻撃者は 972,191 件の個人情報ファイルを暗号化し、裁判所文書に関連する 60 件を抽出してダーク Web で公開したという。ICO はランサムウェア被害の原因となったソフトウェアの脆弱性に対するセキュリティパッチが 2020 年 1 月に提供開始されていたにもかかわらず、同社が適用したのは 2020 年 6 月であり、その間に攻撃を受けたと判断。EU の一般データ保護規則 (GDPR) および英国の個人情報保護法 (DPA) で個人情報の管理者 (controller) に義務付けられた適切な保護措置をとっていなかったとして、3 月 29 日までの罰金支払いを命じた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年03月18日 7時54分 (#4217705)

    やることやってなくて人様に迷惑かけたんだから
    安全配慮義務違反みたいなもんでしょ

    • by Anonymous Coward

      これ、わが国でも広まってほしいな。
      かなり問題が減ることが期待できる。

      • by Anonymous Coward

        直さなくても済んだかもしれないのに、逆に問題が増えそう

        • by Anonymous Coward

          パッチを当てるなんて高度なこと、できるならやってるもんね

          • by Anonymous Coward

            作業が高度な技術が必須だと情状酌量されるし、軽度で注意力的問題だと業務上の義務を怠った扱いされるだけの話だからなあ。

            って事で、この弁護士はパッチの難易度が高いとか他の要件に影響して出来ないとかの照明が出来なかったって事で、情状酌量の余地を引き出せなかったわけだ。

          • by Anonymous Coward

            たとえば、医療機器。技適警察みたいに、認定機器警察みたいなのがいて、パッチひとつあてたら、FW変更ひとつしたら違反って言われることあるよ。
            で、そこにあぐらかいて、ベンダは買い換えろって言ってくるからね。

      • by Anonymous Coward

        本邦でも漏洩を防止するための安全管理措置は義務では?

        • by Anonymous Coward

          罰金課された実例ありましたっけ?

          • by Anonymous Coward

            個人情報流出に含まれるんじゃない?
            流出自体は報道されるけど詳細まではされないし。

        • by Anonymous Coward

          個人情報の保護に関する法律 | e-Gov法令検索 [e-gov.go.jp]

          (安全管理措置)

          第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

          これね。あとは不正アクセス禁止法でもアクセス管理者による防御措置 [e-gov.go.jp]の努力義務が定められているけど、ランサムウェアだと対象外ってことになっちゃうのかな。

      • by Anonymous Coward

        踏み台になってるブロードバンドルータも対象になるといいな。
        ユーザ登録したところにはハガキで買い替えるかファームウェアアップデートするかどっちかをするようにとね。

        登録してなくても他人に迷惑をかけているとこういうことがあるとしれば「自分もあぶないかも」と考えるようにならんかな……ほどんどならんだろうな。こういう情報は届いてほしい人には届かないんですよね~

        • by Anonymous Coward

          適切なサポートを提供しないメーカーを罰するような制度を作るのが先だな
          話はそれからだ

  • by Anonymous Coward on 2022年03月18日 8時58分 (#4217735)

    サイバーノーガード戦法だ!となりそう。
    保守コストかけてもハッキングされたら元も子もないやん、となるので。

    • by Anonymous Coward

      対策ってのはリスクの確率を下げるための行為なんやで。

    • by Anonymous Coward

      パッチ当てるだけで98,000ポンド(≒1,500万)の保守コストをかけるアホか、そうと仮定するアホならノーガードも視野に入れるだろうな

      • by Anonymous Coward

        顧客を納得させる120%-200%のセキュリティとなれば、社内一括、リースなり償却なり、プラス保守契約・保守要員って話になるとおもうの

        • by Anonymous Coward

          > 顧客を納得させる120%-200%のセキュリティ
          顧客を納得させるってどっから出てきた話?
          強いて言うなら納得させるのはICOだぞ?
          120%-200%のセキュリティ?
          全部意味不明なんだけど何のこと?
          謎の仮定を前提に謎の話になると思うのとか言われても、勝手に思ってろとしか言いようがないと思うの

          今回のケースは「パッチをあてろ」以外の事は誰も要求してないぞ

          • by Anonymous Coward

            「EU の一般データ保護規則 (GDPR) および英国の個人情報保護法 (DPA) で個人情報の管理者 (controller) に義務付けられた適切な保護措置」を取れといってる。
            顧客は、それ以上、な。

      • by Anonymous Coward

        「納入したらそれっきり、ちょっとでも手を加えるなら開発チーム立ち上げ直して全テスト工程やり直し&保守なのでそのチームの維持費を毎月頂きます。」

        みたいな事ぬかす相手だとふつーにそれ以上の金請求して来そう。

  • by Anonymous Coward on 2022年03月19日 10時57分 (#4218346)

    1月公開→6月パッチ当て 罰金1500万

    3月パッチ当てなら750万?
    1週間後なら70万?

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...