衣料品大手のFatFaceはデータ漏洩を起こしたが、そのことを誰にも話して欲しくないようだ。
今週FatFaceは顧客にメールを送り、1月17日に初めてデータ流出を検出したことを明らかにした。ハッカーは顧客の氏名、電子メール、住所、クレジットカードの下4桁の情報を盗み出している。通知では「決済カードの全情報は流出していない」と繰り返し述べている。
「当社は経験豊富なセキュリティ専門家の協力を得て、直ちに調査を開始しました。専門家による徹底した調査の結果、同月上旬に当社が運用する特定のシステムに不正な第三者がアクセスしたと判断しました」と、メールには書かれている。
しかし何千もの顧客に送られたにもかかわらず、このメールは「このメールとその中に含まれている情報を厳重に秘密にしてください」 と要求している。しかし、これはまったく強制力のない要求だ。
英国のデータ保護法では、企業はインシデントを認識してから72時間以内にデータ漏洩を開示しなければならないが、顧客が情報の機密を保持する法的義務はない。そして、FatFaceが世間の非難に直面するのに長くはかからなかった。同社は「質問があればDMしてください」 と返答するだけで、何も答えることはなかった。
危機管理会社のKekst CNCを通じて送られた声明の中で、FatFaceは次のように述べている。「通知メールは関係する個人を対象とした連絡という性質上、非公開かつ機密扱いとなっています。その内容を考慮し明確にするために、今回のような取り扱いを決定したのです」(なおFatFaceは、この声明が誰のものであるかを明かすことを拒否した)。
TechCrunchは、匿名を希望する元従業員からほぼ同じ内容のメールを受け取った。従業員へのメールは顧客へのメールとほぼ同じ内容だったが、従業員の銀行口座情報と国民保険番号(英国における社会保障に相当)が漏えいした可能性があると警告している。
FatFaceは「一部の従業員、元従業員、顧客」がこの情報流出の影響を受けたことを認めたが、具体的な人数は明らかにしなかった。
関連記事:データ漏洩通知は行間を読め、本当の意味を解読する方法
カテゴリー:セキュリティ
タグ:FatFace、データ漏洩
画像クレジット:SOPA Images / Getty Image
[原文へ]
(文:Zack Whittaker、翻訳:塚本直樹 / Twitter)