ChoicePoint の個人情報漏洩に制裁、FTC が過去最高の罰金

この記事のURLhttp://japan.internet.com/finanews/20060127/12.html

米連邦取引委員会 (FTC) は25日、信用調査会社 ChoicePoint に対し、顧客の個人情報について適切な保護策を講じていなかった落ち度があるとして、1500万ドルの支払いを命じた。

ChoicePoint は1000万ドルを罰金として支払い、500万ドルを損害賠償のための基金として拠出することに同意した。1000万ドルの罰金は、FTC 史上最高額だ。

FTC の委員長 Deborah Platt Majoris 氏は、次のように述べている。「ChoicePoint およびその他の企業に対するメッセージは明白だ。すなわち、消費者の個人情報を窃盗などから保護すべし、ということに他ならない」

16万人あまりの信用情報が窃盗被害に遭ったことを ChoicePoint が明らかにしたのは、昨年2月のことだった。Majoris 氏によると、同社のセキュリティの不備が原因で、少なくとも800人分の個人情報が盗まれたという。このことを受け、同社は翌3月、消費者自身の要請や利益がある場合および行政機関や捜査当局の支援となる場合を除き、個人機密データが入った情報商品の販売を中止すると発表した。

ChoicePoint の販売する信用情報は、5万人/社を超える家主や商店などが入居希望者や顧客の身元照会のために利用している。同社の顧客には、複数の法執行機関および政府機関も名を連ねる。

FTC が ChoicePoint の落ち度として指摘しているのは、同社が適切な審査手続きを持たなかった点だ。情報購入希望者に問題があることは申込書から判断できたはずであるにもかかわらず、そうした手続きがなかったため、個人情報を販売してしまった落ち度だという。

Majoris 氏は、今回の裁定について、他の信用調査会社に次のようなメッセージを伝えるものだと述べた。「クラッカー対策として裏口を固めるとともに、(情報を買う) 顧客の照会および身元確認手続きによって正面を防御する義務を負う」

金銭的な制裁に加えて、FTC は CheckPoint に対し、適切な審査手続きを確立するよう義務づけた。同社から個人情報を買いたがっている事業者について、それが合法的な事業者であり、かつ合法的な目的に使うものであることを確認できない限り、販売できないようにする手続きだ。同社はまた、包括的な情報保護プログラムを策定してそれを維持すること、そして同プログラムについて2026年まで1年おきに第三者機関の監査を受けることも義務づけられた。