米連邦取引委員会(FTC)は4月21日、2002年に米Tower RecordsのWebサイトから多数の顧客情報が流出した問題で、同サイトの運営にかかわっていたMTSならびにTower Directと和解合意が成立したと発表した。
FTCは両社に、今後虚偽の表記をしないよう言い渡し、適切なセキュリティプログラムを実装して、外部のセキュリティ専門家によるサイトのセキュリティ監査を2年ごとに実施するよう義務付けている。こうした条件に違反した場合は最高で1万1000ドルの罰金を科すという。
事故当時、Tower RecordsのWebサイトには「個人情報保護のために最先端の技術を導入しています」「TowerRecords.comのアカウント情報はパスワードで保護され、あなただけが情報にアクセスできます」と記されていた。しかしこのサイトにはセキュリティ上の欠陥があり、他人の情報を引き出せるようになっていた(2002年12月7日の記事参照)。FTCは、この欠陥は簡単に修正できたのにTower Recordsは適切な確認・管理を怠ったと指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR