Secure Privacyが伝えるところによると、クラウドCRMプロバイダーのBlackbaudは、サイバーセキュリティーインシデント中に重大な同意管理の失敗により675万ドルという巨額の和解金を支払わされた。この画期的な訴訟は、全国の企業にとって新たな前例となり、堅牢な同意管理システムの重要性と、その失敗がもたらす潜在的な結果を浮き彫りにした。
2020年、Blackbaudはランサムウェア攻撃を受け、13,000の組織にわたる機密性の高い寄付者データが漏洩した。カリフォルニア州による2024年のその後の執行措置により、多額の罰金につながった3つの重大な同意関連の不備が明らかになった。第一に、同社の不適切なデータ暗号化により、財務データを含む機密性の高い寄付者情報が暗号化されていないフィールドに保存され、カリフォルニア州消費者プライバシー法(CCPA)の「合理的なセキュリティー慣行」の要件に違反した。第二に、Blackbaudの誤解を招くような侵害開示により、違反がさらに悪化した。同社は当初、ハッカーが財務データにアクセスしていないと主張していたが、後にSECへの提出書類でその声明は矛盾していることが判明した。最後に、Blackbaudの時代遅れの同意アーキテクチャーは、同意されたデータ処理をサポートするインフラストラクチャーの維持における過失を実証した。
この事件は、おそらく全国のプライバシーの施行に影響を与えるであろういくつかの判例を確立した。規制当局は現在、サイバーセキュリティーの安全対策は有効な同意管理に内在するものと見なしている。適切なオプトインメカニズムがあっても、同意されたデータを保護できない場合は、コンプライアンスは事実上無効になる。これは、同意の評価方法の根本的な変化を表している。さらに、裁判所は、Blackbaudがデータブローカー活動によりCCPA規制対象の「ビジネス」として適格であることを確認し、SaaSプラットフォームの責任を従来のデータプロセッサーを超えて拡大した。2020年の侵害は、2024年の強化されたCCPAフレームワークに基づいて罰せられ、規制当局が過去のインシデントに現在の基準を適用することを示している。これにより、今日のより厳格な解釈では、過去のセキュリティーイベントに対する潜在的な責任が生じる。
Blackbaudの事例は、同様の罰則を回避しようとしている組織に明確な指針を提供している。同意管理テクノロジーには暗号化が必須となり、リアルタイムの同意監査が義務付けられている。侵害の範囲を偽ると、当初の同意の有効性に関係なく、自動的にCCPA違反となる。セキュリティーインシデント対応と同意義務の統合により、侵害のコミュニケーションの基準が高まる。最後に、Blackbaudのクライアントは、欠陥のあるシステムに依存したことで責任を問われた。更新されたCCPA規則では、同意システムに特に重点を置いた年次ベンダーセキュリティー監査、同意義務を明確に定義する責任共有契約、継続性を確保するための同意データのエスクロー契約など、より厳格なベンダー管理が求められている。
Blackbaudの事例は、新しい規制環境を乗り切る企業にとって、警告とロードマップの両方の役割を果たす。同意管理はもはやチェックボックスと設定センターだけのものではなく、エンドツーエンドのセキュリティー義務だ。これらの新しい標準に積極的に取り組む組織は、罰金を回避できるだけでなく、同意したデータがどのように保護されるかについてますます懸念する顧客とのより強い信頼関係を構築できる。
この製品の詳細については、Secure Privacy製品ページをご覧ください。
