背景
韓国は、ルイ・ヴィトン、クリスチャン・ディオール・クチュール、ティファニーに対して合計2500万ドルの罰金を科しました。これらの高級ファッションブランドは、適切なセキュリティ対策が不十分だったため、顧客データへの非承認アクセスと漏洩が発生したのです。
ルイ・ヴィトン
ルイ・ヴィトンは、従業員のデバイスにマルウェアが感染したことにより、ソフトウェア・アズ・ア・サービス(SaaS)ツールへの不正アクセスを許してしまいました。これにより360万人以上の顧客データが漏洩しました。
韓国の個人情報保護委員会(PIPC)は、ルイ・ヴィトンが2013年からSaaSツールを使用していたにもかかわらず、「IPアドレスへのアクセス権を制限せず、外部からのサービスアクセス時に安全な認証方法を適用していなかった」と指摘しました。
この不備により、ルイ・ヴィトンは1640万ドルの罰金を科され、会社ウェブサイトで罰金について公表するよう命じられました。
ディオール
ディオールでは、カスタマーサービス担当従業員に対するフィッシング攻撃により不正アクセスが発生し、195万人以上の顧客データが漏洩しました。
PIPCは、ディオールが2020年からSaaSシステムを使用していたにもかかわらず、「IPベースのアクセス制御や大量データダウンロード制限を導入せず、アクセスログも確認していなかった」と指摘し、940万ドルの罰金を科しました。
ティファニー
ティファニーでも同様に、攻撃者がカスタマーサービス担当従業員を電話フィッシングでだましてSaaSシステムへのアクセス権を得たことで、4600人の顧客データが漏洩しました。
PIPCは、ティファニーもIPベースのアクセス制御や大量データダウンロード制限を導入せず、影響を受けた個人に法定時間内に通知していなかったため、185万ドルの罰金を科しました。
SaaSとセキュリティ
PIPCは、SaaSソリューションが企業の責任を免責するものではないことを強調し、「これらのソリューションのベンダーにその責任が移転することもありません」と述べています。