Uber Technologiesは、5700万人のユーザー情報に関するデータの漏えいを1年にわたって発表しなかったことで苦境に立たされているが、憤っているのは乗客やドライバーだけではない。Uberはこのほど、同社に早期の情報開示を義務付けていた規則を徹底させたい規制当局の調査を受けることになった。
ニューヨーク州の検事総長は、Uberが米国時間11月21日に公表したデータ漏えいについて調査を開始した。コネチカット州、イリノイ州、マサチューセッツ州当局も、今回のハッキングについて調査していることを認めた。ニューメキシコ州の検事総長はUberに書簡を送り、その中でハッキングやUberの対処の仕方について詳細な情報の提供を求めた。さらに、法律の専門家によると、Uberは米連邦取引委員会(FTC)との和解で合意した取り決めにも違反したとみられるという。その取り決めとは、データのプライバシーやセキュリティについてユーザーを欺かない、というものだ。
米連邦政府でサイバー犯罪担当検察官を務めていた人物で、現在は法律事務所Ballard Spahrで法令順守の仕方について企業に助言しているEd McAndrew氏は、「Uberは早くもFTCの同意命令に違反したようだ」と述べている。
加えてUberは、ニューヨーク州および他の47州において、ドライバーの運転免許証番号が漏えいした場合には企業に公表することを義務付けている法律に従う必要がある。Uberは21日、同社にデータ漏えいを開示する法的義務があったことを認めている。
Uberの広報担当者は電子メールで声明を寄せ、その中で「われわれは複数の州の検察当局およびFTCと連絡を取ってこの問題について協議しており、今後も協力していく用意がある」と述べた。
2016年10月にデータ漏えいが発生したのとほぼ同じころ、UberはFTCとの間で、それ以前に起こった情報流出を一因とする和解交渉を進めていた。Uberが8月に正式に合意した和解の第1項では、Uberは「いかなる方法でも、明示的か黙示的かを問わず、(中略)被申立人が個人情報のプライバシー、機密性、セキュリティ、または完全性をどの程度まで保護しているかを偽ってはならない」と定めている。
そのため、今回のデータ漏えいを隠していたことはUberにとって大きな問題になり得るとMcAndrew氏は述べている。「FTCと同意命令について交渉していたまさにその時期に、意図的に情報開示していなかった」(McAndrew氏)からだ。FTCとの和解条件ではさらにUberに対し、同社が和解命令を順守していることを1年ごとに誓約するよう求めており、これに違反すれば偽証罪で罰せられることになる。この合意成立からまだ1年も経っていない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」