あなたのウェブサイトがハッキングされた場合、責任を負うことができますか?

書かれた記事:
  • オンラインビジネス
  • 更新:Jul 03、2017

企業、サービス、小売業者に対する犯罪は、通常、これまでのように物理的なビジネスを伴わない。 代わりに、「フリーランサー」とハッキング・シンジケートの両方からのサイバー犯罪が増加しています。 彼らは機密性の高いユーザー情報をアイデンティティの泥棒に売る(または自分自身を使う)ことを望んでいます。

しかし、これらの攻撃の被害を受けた企業にとっての法的な影響はどうですか? 彼らは情報を保護する責任がありますか? その責任の範囲は何ですか?

短い答えは、それに依存します。 ほとんどの現代社会では、負債に関しては、切り刻んだ状態や乾燥した状態はほとんどありません。 合理性、犯罪性、考慮すべき規模の問題がある。 ウェブサイトは何百万人ものユーザーと 多額のお金 定期的に、そして何百万もの潜在的な個人情報が存在する場合、明確な答えは不可能です。

メモとして、起こったことの多くは大部分が大企業に適用されていますが、小規模ビジネス(ウェブベースなど)を実行すると、ウェブサイトが違反した場合でも同じ法律のほとんどが適用されます。

リスクをより正確に判断するためにいくつかの以前のケースと違反を見てみましょう。

データ侵害:スケールとタイプ

データ侵害の現実(2016統計、出所: 違反レベルインデックス).

あなたのビジネスがデータ侵害の犠牲になったと仮定します。 あなたがダメージを受ける前に、攻撃の規模を決定する必要があります。 どのようにこれを行うのですか?

まず、盗まれたデータについて考えてみましょう。

  • あなたのビジネスは、メールアドレスが盗まれてしまったことで法的な問題に直面することはありません。 被害者は気付かないかもしれません。 電子メールアドレスは安価で一般的です。このような違反の原因は、加入者リストへの小さな違反やハックです。
  • アカウント情報は別の問題です。 あなたのウェブサイトからアカウントが盗まれた場合、詐欺行為が可能で、損害賠償が可能です。
  • データの違反が発生し、お客様の財務情報および識別情報が盗まれた場合、特に大量に盗まれた場合、過失が見つかると問題になります。 個人情報の盗難が発生し、その他の潜在的な問題が発生する可能性があります(犯罪者が誰かの住所をどう扱うことができるかを考慮する)。

スケールも大きく影響する可能性があります。 多くの和解金および罰金は、(集団訴訟の性質と同様に)被災者一人につき徴収されます。 10レコードの損失は、このサイズの違反が裁判にかけられる可能性は非常に低いので、おそらくあなたのビジネスは100,000レコードの損失をもたらす可能性があります。 ただし、XNUMX財務記録の損失を処理することはできません。 たとえば、Target 最近$ 18.5の決済を支払った 数百万のクレジットカード記録を含む2013データ違反のために様々な州政府に提出されました。

先例がどのように設定されていますか?

根本的に、この法律は、書籍に書かれている内容と同じくらい前例についてのものです。したがって、以前の違反や事件から私たちが知っていることを見てみましょう:

1-企業は責任を負うことができます(またはすぐになる)

企業やウェブサイトには、顧客や顧客に対する責任があります。 これは特に、ヘルスケアや法律など、レコードの誤った扱いや機密性がインターネットの時代にはるか前に影響を及ぼしていた分野ではそうです。 これらのルールは引き続き適用され、機密性の高いフィールドでウェブサイトを運用する場合は、できることとできないことを知っておく必要があります。 法律は明らかです。

しかし、他の人にとっては、現在のところ、水域は依然として責任の程度については暗いです。 英国では、和解と罰金が増えています。 EUにおける新しい法律は、一旦発効すれば、 難しくなる 十分に情報を保護しておらず、データ侵害の間違った終わりに気づいていない企業に対して、罰金を科せられる可能性があります。

この問題に関して米国は何を期待できるでしょうか? これは明白な法律ではありません。 大規模なデータ違反が発生した場合、訴訟はほぼ自動的に提出されますが、それは弁護士がドル記号を参照して何らかの宣伝を得る機会が予想される場合です。 代わりに、ケースバイケースで作業して、他の例を見ていきます。

2-被害はクリアでなければならない

データ漏洩は頻繁に起こり、ほとんどの場合、データ侵害はほとんど発生しません。

アイデンティティ盗難からの潜在的な傷害が強力な議論として成立しないため、消費者からの多くの訴訟はあまりにも成功しない可能性が高い。 データ漏洩の直後に提供することは困難な現実的または差し迫った傷害の証拠が必要になります。 これは変わるかもしれませんが、それはこれまでのようです。

ほとんどのハッカーやサイバー犯罪者は、新たに取得したデータを試してみるよりもよく知っているだけでなく、多くの人がID盗難のためのデータを購入する人物を探しているだけです(ハッカー1人は何百万というクレジットカード番号を使用しません)。 それでも、ID窃盗の大部分は同時に盗まれることはなく、集団訴訟は組織化がより困難です。

たとえば、ウェンディの場合、集団訴訟が起こったが、 事件は最終的に却下された。 裁判所は、損害賠償は十分ではなく、これらの損害賠償額は払い戻されたため、法案の前に立っていなかったと述べた。 さらに興味深いことに、裁判所は、クレジットカードの簡単な不正請求が、損害賠償を保証するには不十分であることを発見しました。

3-過失および適切なプロトコル

うまくいった集団訴訟の例として、 Neiman Marcusのお客様は、$ 1.6万ドルのスーツを獲得しました 小売業者が適切な保護を提供できなかったことが確認された後、会社に対して これは大企業でウェブサイトだけではありませんが、事業を運営している場合、これは無視されることが許されないかもしれないという明確なメッセージです。

政府はすでに ウィンダムTerraCom 情報を適切に保護できないためです。 犯罪の例としては、

  • 保護または暗号化なしでカード情報を格納する。
  • 物理的な場所でファイアウォールやその他のセキュリティ対策を使用できない。
  • 容易に推測されるパスワードの使用。
  • 外部接続を制限できません。
  • 明らかに保護されていないサーバーに関する情報の保存。

さらに、政府は、企業に対して、より良いセキュリティ対策を実施し、罰金の上に余分なコストを追加するよう要求しています。

4 - 特定のレコードの詳細

健康記録に関して先に述べたように、HIPAA(または同等のもの) 施行される 侵害されたことが判明した場合。

最近では、国内外で一連の重要な健康データの侵害があり、デジタル時代に厳しい執行を強制し、厳しい罰則を課すという圧力が高まることはないと考えるのは愚かなことです。 あなたのウェブサイトがヘルスケアに関連している場合は、プロのサイバーセキュリティのヘルプを検討する必要があります。

直接財務管理やその他の機密情報に関連する記録も、高い基準で保持されます。 モルガン・スタンレーは顧客情報を保護できなかった そのために$ 1 millionを失った。

さらに、契約条項またはその他の法的拘束力のある状況が、法廷で自らの重さを持つことに注意する必要があります。 あなたのビジネスがいくつかの情報を安全に保つことに同意するならば、他の先例とは無関係に、あなたはそれを安全に保つ責任があります。

5-それは地域によって異なる可能性があります

米国では、技術の使用およびウェブサイトの使用およびプライバシーの責任に関して州ごとに法律が異なります。 サイバー犯罪に関しては、罰金と基準の違いはあるものの、各州には法律があります。

あなたが国際的な事件を扱っているなら、はるかに複雑かもしれません。 国際法のテナントは、理解するのが正確ではありません。 これは特に企業責任に関する法律の場合には当てはまりますが、比較的新しい法律が関連する場合にはさらにそうです。

述べたように、法制度は、法律のように法的判例によって多くの機能を果たしており、この分野では多くの先例がありません。 あなたは責任があるかどうかにかかわらず、人々があなたのサイトをデータ違反に関連付けるようになるので、テストケースになりたくはありません。 このような画像の損傷から回復することは、ほぼ不可能です。

地域別2016の違反事件

負債リスクの軽減

しかし、違反行為が間違っていても、あなたの責任は緩和されます。 あなたが責任を持って起こったことを開いて、違反を防ぐことができた合理的な方法がない場合、あなたは正しいと思われ、ウェブサイトのブランドと聴衆の再構築に集中することができます。 いつものように、デューデリジェンスは配当を支払う。

要約すると、できるだけ早く次のことを行う必要があります。

  • あなたができる最大の範囲で、あなたの訪問者を保護するあなたのウェブサイトに保護を置く。 あなたのウェブサイトでHTTPSを有効にし、あなたのコメントが自動的にモデレートされるようにします(またはウェブサイトによっては無効にする)。プラグインを最新の状態に保ち、期限切れのものを削除します。
  • デバイスを同様に保護し、人為的ミスを予防する。 適切な処置や法律を遵守していない人は、防衛のないスーパーウィルスよりもあなたに責任を負う可能性が非常に高いです。
  • その問題に関する州の法律をお読みください。 あなたの組織がそれを買う余裕がある場合は、情報の漏洩があった場合に責任のリスクを判断するために弁護士に相談してください。 これは常に変化する分野であり、数年前の先例と法律はもはや適用されない可能性があることにご留意ください。
  • 将来のウェブサイトのセキュリティを可能な限り証明してください。 これを完全に行う方法はありませんが、熟練したハッカーが使用する可能性のある戦略を想像してみてください。
  • あなたのウェブサイトが違反していると分かった場合、迅速かつ決定的に対応してください。 漏れを隠したり、損傷の程度を隠さないように注意してください。 潜在的な調査ではあなたがさらに悪化するだけで、あなたの責任(自分のウェブサイトのユーザーは自分自身を守り防衛する権利がある)のように見えるようになります。 自分自身を抱きしめて(ブログ投稿でも)完全な責任を受け入れるのではなく、その状況を認識して、ユーザーがダメージを緩和し、再発を防ぐために何をしているかを伝えます。

可能性が高い あなた自身を守るために取ることができる他の措置しかし、彼らは責任についてこの質問に本当の洞察を与えることができるにはあまりにも状況が非常に厳しいです。 あなたのウェブサイトで使用するスクリプトがあなたを脆弱にするかどうか(データを収集するために使用する方法に注意する)、収集する正確なデータ、および視聴者とのインタラクションのレベルそこから)サイバーセキュリティ責任の問題になります。

あなたの潜在的な責任についてのあなたの考えにかかわらず、あなたが自分を守り、あなたが出会った知識を使用すれば、あなたはより良くなるでしょう。 このような状況は変わり続けるため、法的またはサイバーセキュリティに関連するあらゆるリスクを徹底的に守ってください。 適切なアイデアと献身で、この問題を心配する必要はありません。

著者について:Cassie Phillips

Cassieは技術とサイバーセキュリティのブロガーであり、定期的に 安全な思考。 通常、彼女は新しい傾向を研究し、彼女の聴衆を築こうとしています。 彼女は、この情報があなたのビジネスを構築する際にオンライン脅威から遠ざけるのに役立つことを願っています。

WHSR Guestについて

この記事はゲストの貢献者によって書かれました。 以下の著者の意見は完全に自分のものであり、WHSRの見解を反映していない可能性があります。

接続します。