［米国］
チョイスポイントのデータ流出事件、史上最高の制裁額1,500万ドルの支払いが確定

（2006年01月26日）

　2005年初めに個人データ流出の事実を公表し、全米で論議を巻き起こした信用調査会社の米国チョイスポイントは、ずさんなセキュリティ管理に対する罰金など総額1,500万ドルを支払うことで米国連邦取引委員会（FTC）と和解した。FTCが1月26日に明らかにした。

　FTCによると、チョイスポイントは1,000万ドルの罰金を支払うが、これはFTCが科した制裁金として過去最高額となる。和解条件に基づき、チョイスポイントはデータ流出による個人情報の被害者のために500万ドルの救済基金を設けるほか、新しいセキュリティ対策を実施し、2026年まで1年おきに独立監査人によるセキュリティ監査を受けることにも同意したという。

　FTCのデボラ・プラット・マジョラス委員長は、「消費者にとって重要な勝利であり、チョイスポイントにとっても、データ・セキュリティ対策に取り組む重要な機会となった。現在ではチョイスポイントのような企業は、顧客データのセキュリティを無視することがビジネスにとって大きなマイナスになることを認識するようになってきた」と述べている。

　チョイスポイントは昨年2月、詐欺グループが設立した幽霊会社に対し、14万5,000人の米国在住者の個人情報へのアクセスを許していたことを明らかにしたが、同社はすでに2004年9月の段階でデータの流出に気づいていたという。同社はその後、その人数を16万3,000人に訂正した。

　FTCによると、チョイスポイントは2001年の時点で、すでに捜査当局から詐欺が発生している可能性を指摘されていた。「データ流出事件は、チョイスポイントが新規顧客の承認と既存顧客の管理などを実施する際に、適切な手続きを怠ったことによって起こった。同社は捜査当局から再三警告されたにもかかわらずチェックを怠り続けた」（マジョラス氏）

　チョイスポイントは膨大な個人情報（信用履歴、社会保障番号、職歴など）を保有し、5万以上の企業と政府機関に身元調査サービスを提供しているが、個人記録を販売している事実を本人にはほとんど知らせていなかったという。昨年のデータ流出事件により、これまでにおよそ800人が個人情報盗難などの被害にあったことがわかっている。

　チョイスポイントが2005年2月にデータ流出の公表に踏み切らざるをえなくなったのには、2003年にカリフォルニア州でセキュリティ侵害通知法が施行されたという背景がある。2005年には同社に続いて十数件の事件が公表された。セキュリティ侵害通知法はこれまでに20以上の州で可決されており、米国議会でも連邦法の制定が検討されている。

(IDG News Service ワシントン支局)