ランサムウェアで給与過少払い テスラ、ペプシコ系従業員によるSaaS訴訟の中身：Kronos給与計算SaaSのランサムウェア被害と法的影響【前編】

Kronosの給与計算SaaSに対するランサムウェア攻撃を巡って、ユーザー企業の従業員が集団訴訟を提起している。原告は「システム停止の結果、不正確な給与計算から給与の過少支払いが生じた」と訴える。

[Patrick Thibodeau，TechTarget]

　電気自動車メーカーTesla（テスラ）の従業員と、大手食品・飲料メーカーPepsiCo（ペプシコ）子会社の従業員が2022年1月に、給与の過少支払いを理由として人事管理システムベンダーKronosの親会社であるUKGを提訴した。KronosのSaaS（Software as a Service）型給与計算・勤怠管理システムに対するランサムウェア（身代金要求型マルウェア）攻撃によって、本件を含む3件の訴訟が発生し、同社には法的な影響が出始めている。

　KronosのSaaS型給与計算・勤怠管理システムは、2021年12月に攻撃を受けて停止に追い込まれ、一部のユーザー企業は紙を含む手作業のプロセスへの切り替えを余儀なくされた。この対処の一環として、勤務時間の把握を推測に頼ったケースもあった。この場合、残業手当や休日手当の支給漏れが生じた可能性がある。

給与過少払いや残業代未払いも　ランサムウェア事件を巡る訴訟の中身

併せて読みたいお薦め記事

サイバー攻撃の実情

• 「Zoom」も「Teams」も利用不可に　大学がサイバー攻撃で受けた被害とは
• コロナ禍で医療機関に“ダブルパンチ”　なぜ病院は非情な攻撃を受けるのか
• 教育機関がサイバー攻撃を受けやすい納得の理由と、データを守り切る方法

　UKGは2021年末に、システム復旧の完了日を2022年1月28日（現地時間、以下同じ）に設定。2022年1月14日には復旧が「前倒しで進んでいる」と報告し、影響を受けた1000社以上のユーザー企業向けの環境が「オンラインに戻り、ログインを受け付けることが可能になった」と説明した。攻撃の影響を受けたユーザー企業は約2500社に上る。

　2022年1月22日にUKGは、影響を受けた全てのユーザー企業が主要機能に安全かつ確実にアクセスできるまでにシステムが復旧したと報告。攻撃によって流出したユーザー企業の個人データは比較的少なかったとの調査結果を明らかにした。

　TeslaとPepsiCo子会社の従業員が2022年1月18日にカリフォルニア連邦地裁に起こした訴訟は、集団代表訴訟手続きに移行しようとしている。原告の1人であるアントニオ・クネゼビッチ氏はカリフォルニア在住で、Teslaにトラック運転手として勤務している。もう1人の原告であるウィリアム・ミュラー氏もカリフォルニア在住で、PepsiCoの輸送業務を請け負う完全子会社New Bern Transportにトラック運転手として勤務している。

　原告はランサムウェア攻撃が、Kronosの給与計算・勤怠管理システムを「破壊した」と主張している。「従業員は勤務時間に見合った給与が支払われなかったり、残業手当が支払われなかったり、不正確な給与明細を交付されたり、給与明細を交付されなかったりした」と原告は訴えている。UKGはこの訴訟についてコメントしていない。

---

　UKGが直面しているリスクはこれらの訴訟だけではない。後編は、連邦政府や州政府、外国政府といった規制当局を巡るリスクについて解説する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。