モルガン・スタンレー、顧客の個人情報を含んだデバイスを売却し、数百万ドルの罰金を科される

** 本記事は、Morgan Stanley fined millions for selling off devices full of customer PII の翻訳です。最新の情報は英語記事をご覧ください。**

モルガン・スタンレーは自社の Web サイトで「金融サービスのグローバルリーダー」と自称しています。また、自社ページの冒頭には「顧客第一主義」の文字が踊っています。しかし、現実には同社が顧客の個人情報 (PII) が保存されている数千台のディスクドライブを含む古いハードウェアをオンラインで販売したために米国証券取引委員会 (SEC) から 3,500 万ドルの「罰金」を課される事態が発生しました。

Today we announced charges against Morgan Stanley Smith Barney LLC stemming from the firm’s extensive failures to protect the personal identifying information of approximately 15 million customers. MSSB has agreed to pay a $35 million penalty to settle the SEC charges.

— U.S. Securities and Exchange Commission (@SECGov) September 20, 2022

https://platform.twitter.com/widgets.js

同社に有罪判決が下された訳ではないため厳密には罰金ではありません。とはいえ、イギリス国内で駐車違反に対して「違約金通知」と称した過料が科されるのと同様に、実質的には罰金と言ってよいでしょう。

さらに、厳密には問題のデバイスを実際に売却したのは同社ではありません。

しかし、同社は老朽化したデバイスを消去して売却する作業を別業者に委託し、そのプロセスが適切に行われているかどうかの確認を怠っていました。

問題の全容

この件に関する SEC の公式文書 (Administrative Proceeding File Number 3-21112) は、SecOps やサイバーセキュリティに携わる人にとって非常に有益な情報を含んでいます。

全 11 ページとそれほど長くないにも関わらず、本文書には多くの紆余曲折や下請け業者による無許可の変更、欠陥だらけの監視とフォローアップの体制、過度の効率化など、驚くべき事実が記載されています。

デバイスを安全に廃棄する際には、本文書を参照して組織のポリシーとプロセスの安全性を確認すると良いでしょう。

本書は以下の 3 点についての教訓を与えてくれます。

• デバイス廃棄やデータ破棄の方針を前もって決めておくこと。
• 中古デバイスのデータ破壊を委託する業者の選定方法。
• 進捗状況を確認するための手順。

中古の IT デバイスを処分する過程には多くのリスクが潜んでいます。

SEC は、モルガン・スタンレーが請負業者を介して行った売却の過程を以下のように簡潔に要約しました。

• モルガン・スタンレーは顧客の個人情報を含んだ約 4,900 台の情報技術資産を売却し、売却された資産は新しい所有者に渡った時点でも依然として個人情報を保持していた。
• 部分的に暗号化された個人情報を含む 500 台のネットワークキャッシングデバイスを廃棄したが、 そのうち 42 台は廃棄後の所在がわからなくなっていた。

背信行為

最初のケースは 2016 年までさかのぼります。モルガン・スタンレーでデバイスの売却を担当していた契約社員は、モルガン・スタンレーが個人情報の消去と売却のプロセスに関するチェックが非常に甘いことに気づいたのでしょう。この契約社員は、未認可の下請け業者にデバイスを売却するように切り替えました。新たに業務委託された業者は、個人情報を消去せずに中古のデバイスを直接オンラインのオークションサイトで売りに出したようです。

オクラホマ州にある企業が IT 運用のためのホットスペアとして古いドライブを数台購入した際に、モルガン・スタンレーの顧客データが消去されずに残存していることを発見しました。

SEC によると、この企業はモルガン・スタンレーに連絡し、「仮にも大手金融機関であるならば中古ハードウェアの処理について厳格なガイドラインに従う必要があり、少なくとも中古デバイスを納品する業者が個人情報を確実に消去したことを確認すべきである」と指摘したそうです。

モルガン・スタンレーは最終的にこれらのドライブを買い戻しましたが、別の場所で購入された他のディスクは手つかずのままです。

買い戻されたディスクは正常に作動した上にデータが保存されていて、「少なくとも 14 万個の顧客の個人情報」を含んでいたことがわかっています。

SEC が厳しく指摘しているように、2016 年のデータセンター廃止に伴って放出されたハードディスクの大部分は行方不明のままです。

適切な暗号化の必要性

別のケースで確認された中古のデバイスは、頻繁に使用されるドキュメントへのアクセスを高速化して、支社がインターネット帯域を最適化するために使用していた WAN (広域ネットワーク) キャッシュサーバーでした。

皮肉にも、これらのデバイスには保存されているすべてのデータパケットを暗号化するオプションがあり、廃棄プロセスを大幅に簡素化できるようになっていました。

暗号化が有効になっており、復号化キーの既知のコピーがすべて消去されていると示されていれば、ほとんど国のデータ保護規制機関は暗号化データも消去されたものとみなしてしまいます。

復号化できないと見なされるデータは実際には、いわば細切れにされているにすぎません。

しかし、モルガン・スタンレーは、デバイスの使用開始から少なくとも 1 年後まで、復号化オプションを有効にしませんでした。

そして、暗号化はデバイスに書き込まれた新しいデータにのみ適用され、以前からあったデータには適用されていませんでした。

つまり、依然として存在している 42 台の売却済みのデバイスには少なくともいくらかの暗号化されていない顧客の個人情報が含まれていることは疑いの余地がありません。

対策

• サイバーセキュリティを外注することはできても、最終的には発注した企業の責任が問われることになります。 セキュリティの外注先業者がデータ保護規制を適切に遵守していることを確認してください。SEC は、モルガン・スタンレーが選んだ業者が法規制に違反したことは明らかなコンプライアンス違反であると批判しています。規制を順守していれば、顧客を危険にさらすことは容易に回避できたはずです。
• デバイスの完全暗号化は、データ保護規制の遵守に効果的です。 復号化キーなしで適切にスクランブルされたデータは、事実上ランダムなノイズに過ぎません。そのため、多くのデータ保護規制当局は復号化不可能なディスクを消去済みあるいは空のディスクとみなします。しかし、最初に暗号化を正しく作動させたことと、将来ディスクが他者の手に渡ったときに復号化キーを取得できないことの両方を証明する必要があります。
• 少しでも疑問がある場合は、データ消去や売却をせず、デバイスを破棄しましょう。環境保護の観点から見れば使用しなくなったコンピューターデバイスをやみくもに破壊せず再利用するのは有益なことですが、中古デバイスを再利用することによる見返りは少なくなってきています。大きなデバイスであっても物理的にシュレッダーにかけることができる上、メタル部品は回収できます。そして何よりデータは消失します。再利用の安全性に確信が持てないのであれば、自らの手で責任を持って処分してください。
• 個人情報の取り扱いを誤ると、紛失してから何年も経ってから情報の流出が判明することがあります。 物理的なゴミは長期間放置すればやがて朽ちていきますが、データ記憶装置はその限りではありません。一見データが消失していたり修復不可能になったりしたように見えたとしても、データ記憶装置が完全に動作して、何年も前のデータがすべてそのまま残っていることがあります。

最後に、ソーシャルメディアにおける過剰な共有のリスクについて警告するためによく使われる一節を紹介します。これはハードウェアの処理にも通ずるものです。

迷ったら、情報の共有はやめましょう (ハードウェアディスクの売却もやめましょう)。