法律の専門家や元連邦当局者によると、今週、Twitter の元セキュリティ責任者による爆発的な内部告発の開示により、同社は新たな連邦捜査にさらされ、数十億ドルの罰金、より厳しい規制義務、または米国政府からのその他の罰則を受ける可能性があります。
Twitter は、Peiter “Mudge” Zatko による内部告発者の開示に起因する多大な法的リスクに直面しています。 200ページ近い開示 同社には情報セキュリティ上の欠陥が山積みであり、一部のケースでは、経営陣が、あからさまな詐欺行為ではないにしても、会社の状況について取締役会や一般の人々を誤解させている.
Twitter は、2020 年 XNUMX 月から今年 XNUMX 月に解雇されるまで同社で働いていた Zatko 氏を、Twitter が業績不振を理由に解雇したと非難しました。重要な文脈が欠けている。」 Zatko は、Google、Stripe、および国防総省で上級職を務めた経験を持つ、高く評価されているサイバーセキュリティの専門家です。 彼の内部告発者の開示は、火曜日にCNNとワシントンポストによって最初に報告されました.
2011 年の FTC プライバシー和解への準拠
米国政府への開示の中で、Zatko は、Twitter がサイバーセキュリティ体制に「重大な欠陥」を抱えており、ユーザー データの取り扱いについて規制当局を故意に誤解させており、同社が法の下での義務を果たしていないと主張している。 2011年のプライバシー和解 連邦取引委員会と — 法的拘束力のある命令であり、ユーザーの個人情報を保護するための「合理的な保護手段」の作成などを要求します。 FTC はこの開示についてコメントすることを拒否した。
Zatko のひどい開示は、すべてのエンジニアを含む Twitter 従業員の約半数が、実際のユーザー データとともに、社内で「製品」として知られている会社のライブ製品への過剰な内部アクセスを持っていると主張しています。 また、同社には内部関係者の脅威、外国政府、偶発的なデータ漏洩に対する防御能力が欠けているとも主張しています。
「基本的なエンジニアリングとセキュリティの原則は、ライブ本番環境へのアクセスを可能な限り制限することです」と開示は述べています。 「しかし、Twitter では、エンジニアが新しいソフトウェアを本番環境で直接構築、テスト、開発し、Twitter のシステム内のライブ顧客データやその他の機密情報にアクセスできました。」
Twitter は CNN に対し、2011 年の同意命令に基づいて当局に提出された第三者監査を引用して、FTC コンプライアンス記録がそれ自体を物語っていると語った。 Twitterは、関連するプライバシー規制に準拠しており、システムの欠陥を修正する取り組みについて規制当局に対して透明性を保っていると付け加えた. Zatko は監査作業に参加しておらず、Twitter の FTC の義務や、会社がどのように義務を果たしているのかを完全には理解していなかった、と Twitter は述べています。
開示によると、Zatko のスタッフは FTC の前に Twitter の問題に「精通」しており、Zatko Twitter が 2011 年の命令を順守したことはなく、順守する方向に進んでいないことを伝えたのは彼らでした。
ザトコの弁護士であり、ザトコを代表する組織である内部告発者援助の創設者であるジョン・タイは、CNNに次のように語った。
Zatko は、彼の内部告発活動の結果として、米国政府から金銭的報奨を受ける資格があるかもしれません。 SEC による「執行措置の成功につながるオリジナルのタイムリーで信頼できる情報」は、罰金が 30 万ドルを超える場合、内部告発者は措置に関連する機関の罰金の最大 1% の削減を得ることができる、と SEC は述べています。 SEC は 1 年以来、270 人以上の内部告発者に 2012 億ドル以上を授与してきました。
ザトコ氏は、「当局が法律を執行するのを助けるため」、また連邦内部告発者の保護を得るために、SEC に開示を提出した、と Tye 氏は述べた。 「報酬の可能性はマッジの決定の要因ではありませんでした。実際、彼は合法的な内部告発者になることを決めたとき、報酬プログラムについてさえ知りませんでした。」
内部告発者の開示は、FTC の数か月後に行われます 独自の主張を平準化 2011年の命令に違反して、Twitterが広告目的でアカウントのセキュリティ情報を悪用した. ツイッター 150億XNUMX万ドルを支払うことに合意 XNUMX 回目の FTC 和解で、これらの請求を解決するために XNUMX 月に。
現在、Zatko の開示は、Twitter の FTC コミットメントのさらに別の違反の可能性を高めています。2011 年の Twitter の和解時に FTC の議長を務めていた Jon Leibowitz 氏によると、企業とその幹部にとって非常に危険な立場です。
ライボウィッツ氏はCNNのインタビューで、「もし事実が真実であれば、命令とFTC法に違反することになり、ツイッターは3回敗訴することになる」と語った。 「FTCが彼らに本を投げつけない理由はありません。」 もちろん、FTC は、新しい違反が発生したかどうかを判断するために、最初に徹底的な調査を行う必要があると、Leibowitz 氏は付け加えました。
消費者保護に関する上院小委員会の委員長で、コネチカット州の元司法長官である Richard Blumenthal 上院議員は火曜日の声明で、Zatko の開示は「Twitter のセキュリティの失敗に対する責任がトップにあることを明らかにしている」と述べた。
彼はさらに、FTC に申し立てを調査するよう手紙で要請し、FTC 法または Twitter の同意命令の違反に責任があることが判明した場合、当局は Twitter の幹部に罰金を科し、個人的に責任を負わせる必要があると述べました。 Blumenthal 氏は、FTC 自身の信頼性が危うくなっていると、火曜日に FTC に送られた書簡で述べています。
「委員会がその命令を精力的に監視し、執行しなければ、それらは真剣に受け止められず、これらの危険な違反は続くだろう」とブルメンタールは書いた.
「事態は実際に意味のあるほど悪化した」
その憲章の下で、FTC は「不当または欺瞞的なビジネス行為および慣行」を訴追する権限を与えられています。 インターネット時代では、それは消費者のデジタル情報を保護すると主張しているが、実際には公の主張に応えていない、またはそれらの保護を偽って伝えている企業を追跡することをますます意味しています.
Twitter の最初の 2011 年の和解は、 二つの疑惑事件 ユーザーのプライバシーとセキュリティを保護するというTwitterの公式声明にもかかわらず、ハッカーは弱い従業員のパスワードを侵害し、アクセスを悪用してTwitterアカウントを乗っ取り、個人情報を盗み見ることができました.
Twitter の和解は、不正行為を認めたものではありません。 しかし、 の提出が必要です Twitter は、「非公開の消費者情報のセキュリティ、プライバシー、機密性、および完全性を保護するために合理的に設計された包括的な情報セキュリティ プログラム」を作成します。
今年の最新の FTC 和解の一環として、Twitter は、ユーザー データを含むすべてのデータベース、および従業員に Twitter アカウントへのアクセスを許可するシステムや情報を保持するシステムに対する「アクセス ポリシーと制御」を含む、さらにきめ細かなサイバーセキュリティ義務を約束しました。内部 Twitter システムへのアクセスを「可能にする、または容易にする」もの。 これらの義務は、裁判官がこの春に命令に署名した後、すでに発効しており、Twitter が法的な問題にさらされる可能性がさらに高まっています。
Twitter の規制要件が高まっているにもかかわらず、Zatko 氏は、XNUMX 年以上前に FTC が最初に申し立てを行って以来、Twitter には大きな変化はないと主張している。
「事態は実際には意味のあるほど悪化した」と議会への彼の開示は主張している. この開示によると、Twitter は昨年、FTC と XNUMX 回目の和解について積極的に交渉していたにもかかわらず、同社はまったく別の事件で、まったく同じタイプの広告目的でのデータの悪用が繰り返されることを許していました。
公開に関連する CNN からの 50 以上の具体的な質問に応えて、Twitter はその事件をめぐる Zatko の主張に対処しませんでした。 同社のエンジニアリング チームと製品チームは、特定のビジネス上の正当な理由がある場合に限り、Twitter のライブ プロダクション環境にアクセスできることを認めており、財務、法務、マーケティング、販売、人事、サポートなどの他の部門のメンバーはアクセスできないと付け加えています。 Twitter はまた、従業員のコンピューターが最新かどうかを判断するために自動的にチェックされ、チェックに失敗したコンピューターは本番環境に接続できないと CNN に語った。
新たな和解または訴訟の可能性
開示の利害関係は非常に重要になる可能性があります。 Twitter が XNUMX 回目の命令違反を行ったという FTC の調査結果は、当局がこれまでに会社に課した中で最も厳しい罰則につながる可能性があります。 FTC は現在、Lina Khan が議長を務めています。 技術プラットフォームに対する懐疑的な声 そして彼女が「商業監視」産業と呼んでいるものは、緩い国家プライバシー規則から利益を得ています。 Khanの下で、FTCは起草を検討しています 新しいプライバシー規制を一掃する これは、Twitter を含む経済全体の企業や、企業が個人データを収集、使用、共有する方法に直接影響を与える可能性があります。
FTC が違反があったと結論付けた場合、Twitter に説明責任を負わせるための主な選択肢は XNUMX つあると、元当局者は述べています。 同社との XNUMX 回目の和解を求めるか、既存の同意命令について Twitter を訴え、裁判所に適切な罰則を求める可能性があります。
和解の場合、FTC は個々の幹部の名前を挙げようとすることさえあり、彼らに個人的な責任を負わせ、彼らまたは会社が再び命令に違反した場合に責任を問われる可能性のある、彼ら自身の行動に対する義務を受け入れるように強制する.
ツイッターがその法的義務に違反したことが判明した場合、リーボウィッツ氏は、FTCは「非常に真剣に検討する必要があります...責任のある幹部を秩序の下に置く」と述べました。
個々の幹部を指名するという単なる脅威は効果的である可能性があると彼は付け加えた. FTC の議長を務めていたとき、Leibowitz 氏は次のように回想しています。 指名されたくないだけ。 もっとお金を払っても構いません。 私の会社がより強い命令下に置かれたとしても、私は気にしません。 しかし、私は名前を付けたくありません。
元 FTC 執行弁護士であり、当局の最大のプライバシー事件のいくつかに取り組んできた Megan Gray は、FTC が自由に使えるツールは数多くあると語った。 (CNNは、ザトコの主張が公になる前にその存在を明らかにせずにグレイに話し、CNNとワシントンポストがザトコの開示を報告した後の火曜日に再び話しました。)
「罰金の引き上げ、コンプライアンス報告の増加、事業部門に対するよりきめ細かい管理と制限」とグレイ氏は選択肢のリストにチェックマークを付けながら語った。 「または、代理店による広告の事前承認を得るための要件、または特定の種類の取引から広告を除外すること。」
企業に説明責任を持たせるためのツールをもっと必要としている機関
Twitter は、FTC のコミットメントを支持した証拠として、第三者による監査を挙げています。 しかし、一般的に、FTC の監査要件が実際に機能する方法では、企業はあまりにも簡単にフックから外れてしまう可能性がある、とグレイ氏は述べています。
たとえば、多くの FTC の命令は、企業が遵守しているという「証明」に基づいて義務を履行できるように、十分に広く書かれています。 FTC への報告では、第三者監査を実施している企業は、企業がコンプライアンスを遵守していると簡単に述べたり、監査対象の企業の声明を引用したりする場合があります。
2011 年から 2022 年まで、FTC に対する Twitter の同意命令により、証明書に基づく監査レポートが許可されました。 その後、今年の XNUMX 回目の和解で、FTC は監査要件をより具体的にし、Twitter の第三者監査人が Twitter の経営陣による証明に「主に」依存することを禁止しました。
こうした種類の制限があっても、FTC の監査報告書に懐疑的な理由はまだある、とグレイ氏は述べています。 その理由は、第三者監査人は FTC からではなく、監査対象の企業から報酬を受けているからだと彼女は言いました。
「そのため、インセンティブは監査会社にとって完全に打ちのめされています」とグレイ氏は付け加えました。
Twitter は CNN に対し、監査は Twitter が FTC の義務を果たさなければならないプライバシーおよびセキュリティ プログラムの XNUMX つにすぎないと語った。
多くの現在および元の FTC 職員、ならびに米国の議員および消費者擁護者は、特に昨年の最高裁判所の後、FTC に企業に説明責任を持たせるためのより多くのツールを提供するよう求めてきました。 倒れます 状況によっては金銭的救済を求める機関の能力。
監視を強化する一部の支持者 呼びかけてきた、 たとえば、FTC 法に対する初めての違反に対して、FTC が企業に罰金を科すようにすることです。 現在、FTC は通常、会社に民事罰を課すことのみを求めることができます。 以前の和解に違反した後。
Twitter の場合、XNUMX 回目の同意命令の交渉は奇妙に見えるかもしれないと、別の元 FTC 職員は、より率直に話すために匿名を条件に語った。 しかし、違反が見つかった場合、他の場合と同様に、FTC は和解を通じて Twitter から得ることができると信じているものと、FTC が第一審で勝ち取ることができるものとを比較検討する必要があります。
長期にわたる訴訟にはリスクがあり、裁判所が実際に FTC に下す裁定を下す可能性があると、元当局者は述べた。
「これらの命令は何の役にも立たないと考える人もいますが、そうではありません。 場合によってはそうかもしれませんが、企業はそれらを真剣に受け止めていません。 しかし、多くの場合、そうであり、FTC は多くの苦痛を強いることができます。 たくさんの痛み。」
The-CNN-Wire™ & © 2022 Cable News Network, Inc., a Warner Bros. Discovery Company. 全著作権所有。
