概要:ベンダーのデータ侵害でComcastに罰金
通信大手Comcastは、連邦通信委員会(FCC)の調査結果を受け、150万ドル(約2億2千万円)の罰金を支払うことで和解しました。これは、2024年2月に発生したベンダーのデータ侵害により、約27万3,703人のComcast顧客の個人情報が流出した事件に関するものです。
事件の詳細:旧債権回収業者が標的に
このデータ侵害は、2024年2月、Comcastが約2年前に利用を停止していた債権回収業者であるFinancial Business and Consumer Solutions(FBCS)のシステムがハッキングされたことによって発生しました。当初、FBCSのデータ侵害は合計190万人、その後320万人、最終的には420万人に影響したとされていましたが、FBCSは同年7月15日(侵害発生から5ヶ月後)に、Comcastの顧客27万3,703人に影響があったことをComcastに通知しました。これに先立つ3月には、FBCSはComcastに対し、同社の顧客には影響がないと説明していました。
脅威アクターは2月14日から2月26日の間に、影響を受けた現および元顧客の氏名、住所、社会保障番号、生年月日、Comcastアカウント番号を含む個人情報および財務情報を盗み出しました。影響を受けた顧客は、ComcastのXfinityブランドのインターネット、テレビ、ストリーミング、VoIP、ホームセキュリティサービスを利用していました。
FCCの措置とComcastの声明
FCCが月曜日に発表した同意判決に基づき、Comcastは以下のコンプライアンス計画を導入することに合意しました。
- 顧客データを保護し、プライバシーを確保するためのベンダー監視の強化。
- ベンダーがビジネス目的で不要になった顧客情報を適切に廃棄するよう確認すること。
- コンプライアンス担当者の任命。
- 顧客データを扱うベンダーのリスク評価を2年ごとに実施すること。
- 今後3年間、6ヶ月ごとにFCCにコンプライアンス報告書を提出すること。
- 重大な違反があった場合、発見から30日以内に報告すること。
しかし、ComcastはReutersへの声明で、「この事件に関連して責任を負うものではなく、いかなる不正行為も認めていない」と述べました。同社は、自身のネットワークが侵害されたわけではなく、FBCSはセキュリティ要件を遵守する契約上の義務があったと指摘しています。
Comcastの企業概要
Comcastはアメリカの多国籍メディア、電気通信、エンターテイメント企業であり、収益においてAT&T、Verizon、China Mobileに次ぐ世界第4位の電気通信会社です。同社は182,000人以上の従業員を擁し、世界中に数億人の顧客を抱え、2024年には1,237億ドルの収益を報告しています。