ソニー・ピクチャーズに元社員が集団訴訟、個人情報流出で

社員に脅迫メールとか来てますからね…。

ソニー・ピクチャーズがハッキングされて未公開作品やら社員の個人情報やらが大量流出した件に関して、TMZによれば、元社員がソニー・ピクチャーズを相手に集団訴訟を起こしました。同社がそのシステムを適切に保護せず、彼らの個人情報を世にさらしたから、というのが訴訟理由です。

この訴訟を起こしたのはふたりの元社員、Michael CoronaさんとChristina Mathisさんです。それぞれ2004年～2007年と2000年～2002年にソニー・ピクチャーズに在籍していました。

今月、｢Guardians of Peace｣（平和の守護者）と名乗るハッカー集団がソニーから盗みとったファイルやメールを大量に公開し、その中には社員・元社員の社会保障番号、医療記録、給与、住所などなど超大事な個人情報もてんこ盛りでした。すでにハッカーからと見られる脅迫メールが社員やその家族に届いてもいます。さらされた人たちは当然、ソニー・ピクチャーズほどの会社がこんな脆弱性を抱えていたことに怒り心頭です。

原告のColonaさんたちは、ソニー・ピクチャーズがその脆弱性に気づいていたにもかかわらず社員の情報を守れなかったことを強く非難しています。

ソニーは原告および他の同等の地位の者に対し、自社のネットワークに保存された個人情報を厳重に管理し、保護し、安全を守るための合理的かつ適切な安全策を講じる法的義務があった。ソニーはその義務を、次のうちひとつ以上の行為または不行為によって怠った。すなわち、適切なファイアウォールとコンピュータシステムを設計・実装していなかったこと、データを正確かつ適切に暗号化していなかったこと、ソニーネットワークの暗号化キーのコントロールを失い、タイムリーに取戻すことができなかったこと、原告と他の同じ地位の者の個人情報を不適切に保護されたネットワークに不適切に入手・保存したことである。

Colonaさんたちはまた、ソニー・ピクチャーズがすでにハックされる危険に気づいていたことも指摘しています。というのは、2011年にアノニマスがPlaystationをハックした事件があり、会社として次なる攻撃に対してもっと入念に備えておくべきだったというのです。

さらに問題視されているのは、ハックされたことがわかったあとのソニー・ピクチャーズの対応です。彼らは未公開作品に関する情報と、社員の個人情報では明らかに違う対応をしていて、前者に関してはそれ以上の流出を防ごうと未公開作品の違法ダウンロードサイトへのDDoS攻撃などあらゆる手を尽くしているのに対し、後者に関してはそこまで気にかけていないようです。

Recodeによれば、データ流出を受けてソニーはすでにハッキングの手法を使い、ハッカーが公開した映画の違法ダウンロードを阻止すべく動いている。具体的には、同社はAmazon Web Services（NetflixやInstagram、その他多数のバックエンド）を使って、盗まれたデータをホストしているWebサイトに対しDDoS攻撃を仕掛けている。

しかしソニーは、現在および過去の従業員を保護するために同様の対応はしていない。

たしかに社員の人たちにしてみれば、情報をさらされたうえに会社は自分の身を守ることしか考えてないって感じで、｢誠意がない｣と思っても仕方ない状況ですね…。訴えの内容は以下で全文読めます。

Sony Pictures Entertainment Suit

source: TMZ

Kate Knibbs - Gizmodo US［原文］

（miho）