米Twitterがプライバシー保護怠慢の責任を認め、米FTCと和解


 米Twitterと米連邦取引委員会(FTC)は24日、Twitterが適切なセキュリティ管理を行っていなかった責任を認めることで、両者が和解したと発表した。

 これに伴い、Twitterは今後10年間、強固なセキュリティ上の措置を構築・維持することと、それに対する第三者による監査を行うなどの義務が生じることになる。

 FTCが、データセキュリティ保護の過失に関して制裁を科すのは、史上30番目のことだ。今回の制裁は、2009年1月と5月に、Twitterの管理パスワードが盗まれ、ユーザーのプライベートなメッセージが盗まれたり、偽ツイートが送信された事件に対するものだ。

 この事件では、侵入者は自動化されたパスワード推測ツールを利用し、Twitterの管理パスワードを盗み、侵入した。その結果、当時大統領候補だったバラク・オバマ氏や、米メディアのFOXニュースを騙るツイートが送信されるなどした。2009年4月には、Twitter従業員の個人メールアカウントから、Twitterの管理パスワードが盗まれ、全Twitterユーザーの個人情報やツイートにアクセスできる状態にあったとされる。

 FTCは、Twitterが侵入された理由は、同社が適当な保護措置をとっていなかったことにあるとし、以下の7点を指摘した。

1)従業員に対して、推測することが難しい管理パスワードの使用を義務付けること。これらのパスワードは、他のウェブサイト、ネットワーク、プログラムで使用されるべきではない。

2)従業員が個人メールアカウントの中で、プレーンテキストで管理パスワードを保管するべきではない。

3)ログインしようとする試みが、ある一定回数を超過した場合、管理パスワードを一時停止するか、利用不可能にすること。

4)権限を与えられた人物のみが知る管理用ログインページを設けること。これらは、ユーザー用ログインページとは別に設けられるべきである。

5)管理パスワードを周期的に強制変更すること。例えば、90日ごとに失効するようにすること。

6)職務上、管理・運用する必要がある従業員によるアクセスを制限すること。

7)特定のIPアドレスのみにアクセスを制限するなど、その他の合理的な管理上の制限を課すこと。

 この結果、Twitterには今後20年間、非公開の秘密ユーザー情報を守るための、セキュリティ保護やプライバシー保護などの点につき、消費者を欺くことを禁じ、また10年間にわたって、包括的な情報セキュリティプログラムの確立と維持、またこれに関する第三者機関による監査が要求されることになった。

 これに関して、Twitterは公式ブログで事態について説明。同社では事件発生当時、50人に満たない数の従業員しかいなかったことや、事件発生直後にセキュリティ上の措置をとり、被害に遭ったユーザーに通知し、ブログに情報公開したことなどを挙げ、釈明している。

 少人数で運営するスタートアップ企業がネット上で大きな影響力を持つようになった現在、どのようなサービスでもユーザー情報の保護が重要であることを再認識させられる出来事といえるだろう。


関連情報

(青木 大我 taiga@scientist.com)

2010/6/25 12:01