米連邦通信委員会(FCC)は、数百万人の米国消費者の個人情報を漏えいさせた複数のデータ漏えいをめぐり、Tモバイルと3150万ドルの和解金を支払うと発表した。
この合意は、2021年、2022年、2023年にT-モバイルの顧客に影響を与えた複数のサイバーセキュリティ事件とその結果生じたデータ漏洩(API事件と 販売アプリケーションの漏洩)に関するFCC執行局の調査を解決するものである。
和解の一環として、通信事業者はサイバーセキュリティ強化に1,575万ドルを投資し、米国財務省に民事罰1,575万ドルを追加で支払わなければならない。
同社はまた、ゼロ・トラスト・アーキテクチャやフィッシング攻撃に抵抗する多要素認証といった最新のサイバーセキュリティ・フレームワークの採用など、より強固なセキュリティ対策の実施を約束した。
「今日のモバイル・ネットワークはサイバー犯罪者にとって最大の標的である。FCC委員長のジェシカ・ローゼンウォーセルは、「消費者のデータはあまりにも重要であり、最高のサイバーセキュリティ保護を受けられないほど機密性が高い。
「我々は、このデリケートな情報を預かっているプロバイダーに対し、システムを強化する必要がある、さもなくば結果が出るという強いメッセージを送り続ける」と述べた。
合意の一環として、T-モバイルは、基本的なセキュリティの欠陥に対処し、サイバー衛生を改善し、堅牢な最新のアーキテクチャを採用することにより、プライバシー、データセキュリティ、サイバーセキュリティの実践を強化することを約束した:
- 最高情報セキュリティ責任者(CIO)を通じて取締役会に定期的にサイバーセキュリティに関する最新情報を提供し、監督とガバナンスを強化する、
- 顧客情報の収集と保持を制限するため、データ最小化、データ目録、データ廃棄プロセスを採用する、
- 重要なネットワーク資産を検知・追跡し、悪用や侵害を防止する、
- セキュリティを向上させるためにネットワークをセグメント化し、最新のゼロトラスト・アーキテクチャの導入に取り組む、
- 独立した第三者機関による監査を通じて、情報セキュリティ慣行を評価する、
- 漏えい、盗難、盗まれた認証情報の販売に関連する侵害リスクを阻止するため、社内システム全体で多要素認証を採用する。
「T-モバイルのような企業やその他の通信サービス・プロバイダーは、国家安全保障と消費者保護の利害が重なる領域で事業を行っているため、我々は、国家サイバーセキュリティ態勢を改善し、将来の米国人の機密データ漏洩を防止するために、通信ネットワークに重要な技術的変更を確実に行うことに注力している」とFCC執行局長のLoyaan A. Egal氏は付け加えた。
FCCが2024年9月にAT&Tと(1,300万ドル)、2024年7月に子会社のTracFone Wirelessに代わってベライゾンと(1,600万ドル)同様の和解に達したときと同様、ローゼンウォーセル委員長によって2023年に設立されたFCCのプライバシーおよびデータ保護タスクフォースが、調査と和解において中心的な役割を果たした。
FCCはまた、顧客の同意なしにリアルタイムの位置情報を共有したとして、2024年4月に米最大手の無線通信事業者に約2億ドルの罰金を科した。
4月の没収命令は、2020年2月にAT&T、Sprint、T-Mobile、Verizonに対して出されたNotice of Apparent Liability(NAL)を最終化したもので、4キャリアそれぞれに数百万ドルの罰金を科した:Sprintは1200万ドル、 T-Mobileは8000万ドル(両キャリアは調査開始後に合併)、AT&Tは5700万ドル以上、Verizonは4700万ドル近い罰金である。
FCCは2月、データ漏洩報告規則を更新し、通信会社に対し、顧客の個人を特定できる情報に影響を及ぼすデータ漏洩を30日以内に報告するよう義務付けた。
Comments