概要:Illuminate EducationへのFTC提案
米連邦取引委員会(FTC)は、教育テクノロジープロバイダーであるIlluminate Educationに対し、不要な学生データの削除とセキュリティ体制の改善を求める和解案を提示しました。これは、2021年に発生した大規模なデータ漏洩事故に関連するもので、約1000万人もの学生情報が流出したとされています。
このFTCの動きは、カリフォルニア、コネチカット、ニューヨークの各州がIlluminateに対する訴訟を510万ドルの和解金で解決した直後に行われました。
Illuminate Educationとは
Illuminate Educationは、K-12(幼稚園から高校まで)の学校や学区向けにクラウドベースのテクノロジー製品を提供するベンダーです。同社は、学業成績、評価、出席状況、スケジューリング、人口統計データ、行動データなど、多岐にわたる学生データの収集、整理、分析、報告のためのツール群を提供しています。
データ漏洩の詳細とFTCの指摘
FTCによると、Illuminateは学生データの機密性の高さにもかかわらず、セキュリティプログラムに複数の欠陥を抱えていました。具体的には、以下の点が挙げられています。
- アクセス制御の欠如
- 不十分な検出および対応策
- 脆弱性監視とパッチ適用プロセスの弱さ
- 平文でのデータ保存
2021年12月、ハッカーは3年以上前に退職した元従業員の資格情報を悪用してIlluminateのシステムに侵入し、第三者のクラウドプロバイダーがホストするデータベースにアクセスしました。これにより、約1010万人の学生の個人データが流出しました。流出した情報には以下のものが含まれます。
- メールアドレス
- 住所
- 生年月日
- 学生記録
- 健康関連情報
FTCは、Illuminateが第三者ベンダーからネットワークのセキュリティ欠陥に関する警告を受けていたにもかかわらず、是正措置を講じなかったと指摘しています。さらに、同社は2022年1月まで学生データを平文で保存し続けていました。
また、Illuminateは契約において「業界のベストプラクティスを満たす、またはそれ以上を実践している」と主張し、データ暗号化をセキュリティ対策の一つとして明記するなど、自社のセキュリティ体制を偽っていたとFTCは述べています。
遅れた通知と今後の要求事項
FTCは、Illuminateが事故発生から2年間も影響を受けた学区への通知を遅らせたことで、影響を受けたユーザーがフィッシング詐欺などのリスクに長期間さらされたと批判しています。これらの理由から、FTCは和解の一環として、同社にデータセキュリティプログラムの改善を義務付けます。
合意内容として、Illuminateは以下の措置を講じる必要があります。
- 全ての不要なデータの削除
- 公開されたデータ保持スケジュールへの準拠
- セキュリティ慣行に関する誤解を招く表示の停止
- 他の当局にデータ侵害を報告する際にFTCへ通知すること
この命令は最終化される予定で、30日間のパブリックコメント期間が設けられます。最終命令に違反した場合、1件あたり最大51,744ドルの民事罰が科される可能性があります。