Altaba(元Yahoo)が過去の個人情報漏洩事故を2年間隠ぺいしていたとして38億円の罰金を科せられる

By tara hunt

アメリカのYahooといえば、世界最大のインターネットメディアを扱う企業の1つとして知られていました。しかし、Yahooは2016年9月にインターネット事業部門をベライゾン・コミュニケーションズに売却することで合意。売却が完了した2017年7月に、Yahooは社名をAltabaに変更しました。しかし、Yahooは2014年に不正アクセスの被害を受け、大規模なユーザー情報の漏えい事故を発生させていましたが、その事実を売却が合意するまで、公表しませんでした。アメリカの証券取引委員会は「Yahooがセキュリティ事故の存在を2年間隠ぺいしたこと」を問題視し、当時Yahooを運営していたAltabaに対して巨額の罰金を科しました。

SEC Penalizes Yahoo $35 Million For Massive, Undisclosed Cyber Theft | Dorsey & Whitney LLP - JDSupra
https://www.jdsupra.com/legalnews/sec-penalizes-yahoo-35-million-for-20427

Yahooは2014年後半に何者かによってユーザーデータベースがハッキングされ、個人情報にアクセスされる事態が発生しました。Yahooのセキュリティチームは、不正アクセスがロシアのハッカーによるものであると、その後の調査で断定しました。

そして、2014年12月までに、セキュリティチームは1億8000万人分の個人情報が流出したことを確認。盗まれた個人情報には「電子メールアドレス」「電話番号」「生年月日」「(ハッシュ化済み)パスワード」「パスワードリマインダー用の秘密の質問と回答」が含まれていました。

同社の最高情報セキュリティ責任者(CISO)は、不正アクセスにより大規模な個人情報の漏えいが発生したことを、経営陣と社内の法務部門に報告しました。しかし、経営陣はこの事実を公表することで、訴訟費用、セキュリティ対策費用などの増加およびブランドイメージの失墜などによる収益の損失が起こることを懸念し、セキュリティ事故の存在を隠ぺいすることにしました。

2016年夏にYahooは同社のインターネット事業部門の売却について、ベライゾン・コミュニケーションズと交渉を開始。交渉中にYahooがベライゾン・コミュニケーションズに提出した資料には、過去に発生した個人情報漏えい事故についての記述があったようですが、取るに足らない4件の事例のみを取り上げており、2014年に発生した大規模なセキュリティ事故の存在は隠されていました。

その後、2016年7月23日にベライゾン・コミュニケーションズはYahooを約48億3000万ドル(約5300億円)で買収することに合意。Yahooのインターネット事業部門はベライゾン・コミュニケーションズの傘下に加わり、AOLに統合されることが決定します。

2016年9月22日に、Yahooは2014年に発生した不正アクセスにより、少なくとも5億人分のユーザーアカウントが流出していたことを公表しました。この公表を受け、ベライゾン・コミュニケーションズはYahooと買収価格の再交渉を行い、約44億8000万ドル(約4900億円)の価格で合意。また、このセキュリティ事故に関する訴訟費用は両社で負担することにも合意しました。

その後、アメリカの証券取引委員会は、「Yahooがセキュリティ事故の存在を2年間隠ぺいした事実」を問題視し、当時Yahooを運営していたAltabaに対し3500万ドル(約38億円)の罰金を科しました。Altabaも支払うことで合意しました。