Morgan Stanley to Pay $35M Fine for Exposing Information of Millions of Customers
2022/09/21 SecurityWeek — 火曜日の米証券取引委員会 (SEC) の発表は、数百万人の顧客の個人情報を流出させた Morgan Stanley が、$35 million 罰金の支払に同意したというものだ。SEC によると、Morgan Stanley の Smith Barney 資産管理事業は、5年間にわたる広範な失敗を理由に起訴された。具体的には、約 1500万人の顧客の個人情報を保護することができなかったとされている。
同庁によると、Morgan Stanley は顧客データを保存していたハードディスクやサーバを、適切に廃棄しなかったという。2015年から複数回にわたり、同社は引越/保管の企業にに依頼して、数千台のデバイスを廃棄させた。
しかし、依頼された企業はデータ破棄の専門知識や経験がなく、顧客情報を含む数千台の Morgan Stanley のデバイスを、第三者に売却したこともあったという。それらのデバイスは、その後に、顧客データが削除されないまま、オークションサイトで転売されていた。
同社は、それらのデバイスを取り戻そうとしたが、その大半は回収できなかった。
さらに SEC は、Morgan Stanley のローカル事業所/支店のサーバを廃止した際にも、顧客情報を適切に保護することができなかったと述べている。同社は、暗号化されていない機密情報を含む可能性のある、42台のサーバが紛失していることを発見した。
SEC によると、Morgan Stanley は容疑を認めることもなく否定もしなかったが、S-P規則の保護措置および廃棄規則に違反したとする、SEC の命令に従い $35 million の罰金を支払うことに同意したという。
Morgan Stanley がデータ・セキュリティのインシデントを引き起こしたのは、今回が初めてのことではない。2016年に、同社の従業員が個人サーバに情報をコピーし、それが後にハッキングされたことで、SEC は約73万人の顧客に関する情報を保護しなかったとして、$1 million のペナルティ支払いを要求した。また、昨年には、数多くの大手企業に影響を与えた Accellion のハッキングにより、一部の顧客の個人情報が流出したことを明らかにしている。
あまりに杜撰な、Morgan Stanley のデバイス廃棄に対して、SEC が科した $35 million の罰金が、高いのか安いのかは分かりませんが、情報流出を止めるための厳格な対応と言えるでしょう。ハードディスクの廃棄については、個人ユーザーであっても、もっと慎重に行っているはずです。繰り返さないでほしいですね。
IoT OT Security News 
You must be logged in to post a comment.