Twitterは米国時間6月24日、2009年に発生して話題となった2件のハッキング事件を受けて、Twitterのセキュリティ対策に問題があるとして米通信取引委員会(FTC)が開始した調査について、FTCとの和解に達したと発表した。
Twitterの法律顧問を務めるAlexander MacGillivray氏は24日、本件の状況を同社ブログへの投稿で説明した。2009年夏に同社に入社したMacGillivray氏は、それまではGoogleの法務担当チームに所属していた。同投稿には、「2009年初め、Twitterの従業員数が50名未満であったとき、われわれは、少数のユーザーに影響を与えた2件の異なるセキュリティ事件に遭遇した」と記されている。「簡単に言うと、われわれは攻撃の被害者となり、ユーザーアカウントが不正にアクセスされた」(同投稿)
Twitterは2009年の1月と4月、著名人のアカウントをターゲットとしたハッキング攻撃を受けた後、(Twitter社内文書を含む)機密情報が攻撃者にアクセス可能となるというデータ侵害を受けた。FTCは、これらのセキュリティ侵害は、予測されにくいパスワードを要求したり、従業員にパスワードを数カ月毎に変更するよう求めたり、機密であると思われるデータへの社内アクセスを制限したりといった、ユーザーを保護するための適切な対策をTwitterが講じていなかったという事実を象徴するものであると主張した。
FTCは24日の声明で、Twitterは今回の合意に基づき、「独立監査を受ける情報セキュリティプログラム」を配置することになると説明した。同プログラムは第三者機関による評価を2年毎に受けることが義務付けられ、同社は20年間、「非公開のユーザー情報のセキュリティ、プライバシー、機密性に対する同社の維持および保護体制に関し、ユーザーに誤解を与えること」が禁じられるという。
ユーザーセキュリティに関する透明性を維持するようにと企業に求めるのは、たやすいことのように聞こえる。しかし一部の独立系の批評家らは、FTCは介入しすぎかもしれないと考える。
データプライバシーおよびデジタルメディアセキュリティを専門とする法律会社Reed Smithの弁護士であるPaul Bond氏は、「Twitterに対するFTCの不満は、FTCが最良の手段と考える、パスワード保護のための各種慣習を対象としている」と説明する。「しかし、これらの慣習は、実際には米国の連邦法や規制によって明示的に義務付けられているものではない。FTCは実質的に、法律作成という正規の手続きを踏まずに、同意命令によって規制していることになる」(Bond氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」