2020年7月21日(火)、New York Department of Financial Services(NYDFS)は、大手タイトル保険会社であるFirst American Title Insurance Company(以下「F社」)に対して、消費者の機密性の高い個人情報の保護に関して複数の誤りを犯したとして、NYDFSのサイバーセキュリティ規制に基づく初の訴訟を提起したことを発表しました。
　NYDFS によって発行された告訴状と聴聞会からの通知によると、F社は、銀行口座番号や明細書、住宅ローンや税金の記録、社会保障番号、電信送金の領収書、運転免許証の画像など、機密性の高い個人情報を含む数百万件の文書のデータベースを管理していました。2019年5月現在、NYDFSは、データベースには8億5000万件以上の文書が含まれており、その大部分には機密性の高い個人情報が含まれていたとしています。
　告訴状はさらに、F社がウェブベースの文書配信アプリケーションを管理しており、それによってタイトルエージェント(訳注: 日本における不動産業者に近い職種)やF社の従業員がデータベース内の文書にアクセスし、不動産取引の一環として外部の関係者と文書を共有できるようにしていたとしています。このアプリケーションは、タイトルエージェントやF社の従業員が不動産取引の参加者に、電子メールの受信者が関連文書にアクセスできるようにするURLを電子メールで送信できるようにするものです。リンクやサイトのURLを知っている人は、ログインや認証なしで書類にアクセスできました。
　NYDFSは、2014年10月のソフトウェアアップデート後、文書配信アプリケーションに脆弱性が生まれ、8億5千万以上の文書が誰でもアクセスできるようになったとしています。
訴状によれば、閲覧者が実際にそれらの文書へのアクセスを許可されていたかどうかにかかわらず、誰でも、URL内のImageDocumentIDの番号を1桁以上変更するだけで、変更後のImageDocumentIDに対応する文書を閲覧することができたといいます。
　NYDFSは、2018年12月に侵入テストを実施した後に脆弱性とデータ流出を発見しましたが、2019年5月まで脆弱性を是正しなかったとしています。告発状は、F社の脆弱性是正プログラムおよびデータ漏洩の取り扱いに以下のような不備があったとしています。

• * F社は、アプリケーションごとのセキュリティ概要報告書の作成と、任意のアプリケーションで保存または送信されたデータのリスク評価を怠るなど、自社のセキュリティポリシーに従わなかったとしています。F社は、Web文書配信システムに関するセキュリティの概要やリスク評価を実施していませんでした。
• * F社は、文書配信システムが個人情報を送信できないと勘違いし、脆弱性を「中程度の深刻度」に分類していました。
• * F社は、サイバー防衛チームが数億件の文書のうち10件の文書しかレビューしていなかったため、「公開された文書のレビューを容認できないほど最小限にとどめ、それによってセキュリティの重大性を認識できなかった」としています。
• * F社は、社内のサイバーセキュリティ専門家からの助言を無視しました。サイバー防衛チームは、文書配信システムを担当するチームに、脆弱性が機密文書を公開する可能性があるかどうかを判断するために、さらなる検討を行うよう勧告していました。
• * F社は、ソフトウェアの脆弱性への対応を半年間遅らせたことで、自社の社内ポリシーを遵守できなかったとされています(同社の社内ポリシーでは、「深刻度が低い」脆弱性であっても90日以内の是正が求められていました)。
• * F社は、告発状によると、「資格のない従業員」(すなわち、データセキュリティの経験がほとんどない新入社員)に改善のタスクを割り当てたと主張していますが、その従業員は、改善することになっていた脆弱性の詳細を記載した侵入テスト報告書のコピーも渡されませんでした。
• * F社のデータベースおよび文書配信システムは、個人情報を保護するための適切な管理がなされていなかったとされています。

　NYDFSは、民事的な金銭的処罰、F社に違反行為の是正を求める命令、およびその他の正当かつ適切な救済を求めています。
　訴状では、ペナルティの総額がどのように計算されるべきか示されておらず、インシデントの影響を受けたニューヨークの住民の数に関する情報も提供されていませんが、サイバーセキュリティ規則では、違反1件につき最高1,000ドルのペナルティが課せられています。NYDFSはさらに、料金に含まれる個人情報の各インスタンスは、違反ごとに最大1,000ドルのペナルティを伴う個別の違反であると主張しており、当社に課せられるペナルティは多額になる可能性があることを意味しています。
　では、このケースの重要なポイントは何でしょうか？規制当局は、組織が適切なサイバーセキュリティポリシーや手順を実施することを保証するだけでなく、組織が実際にそのような内部ポリシーや手順の条件を遵守しているかどうかを検証しているようです。実際、告発状では、F社が自ら社内規定に定めた期限内に脆弱性を是正しなかったことにより、F社が自らの方針に沿って行動しなかったと主張しています。また、NYDFSは、サイバーセキュリティ担当者の勧告に従わず、更なる検討と脆弱性の調査を行っていないと指摘しました。
　興味深いことに、NYDFSは、脆弱性を利用した個人情報の窃盗、詐欺、その他の事件を認識しているかどうかについては、告発書の中で言及していません。このことは、ニューヨークの居住者やニューヨークに拠点を置く消費者が被った具体的または直接的な被害の具体的な証拠がなくても、NYDFSがサイバーセキュリティ規制に基づいて強制執行措置を取る意向であることを示唆している可能性があります。
　NYDFSはさらに、これらの申し立てられた違反に関する聴聞会が2020年10月26日に開催されることを示しました。

原文記事: https://blog.isc2.org/isc2_blog/2020/08/nydfs-brings-first-enforcement-cybersecurity-regulation.html