「ランサムウェア攻撃を受けたSaaSベンダー」に規制当局が求める責任とは：Kronos給与計算SaaSのランサムウェア被害と法的影響【後編】

Kronosの給与計算SaaSに対するランサムウェア事件は、不利益を被ったユーザー企業の従業員からの訴訟問題だけでなく、政府機関といった規制当局からの取り締まり強化に発展する懸念がある、と専門家は指摘する。

[Patrick Thibodeau，TechTarget]

　前編「ランサムウェアで給与過少払い　テスラ、ペプシコ系従業員によるSaaS訴訟の中身」は、KronosのSaaS（Software as a Service）型給与計算・勤怠管理システムが2021年12月にランサムウェア（身代金要求型マルウェア）攻撃を受けて停止した事件を巡る訴訟問題を取り上げた。このシステム停止によって一部のユーザー企業は正確な給与計算ができなくなり、勤務時間の把握を推測に頼った結果、給与の過少支払いが生じた。これを理由としてユーザー企業の従業員が、Kronosの親会社であるUKGを提訴している。

　UKGが直面しているリスクはこれらの訴訟だけではない。法律の専門家は、連邦政府や州政府、外国政府による規制の執行もリスクだと指摘する。

「ランサムウェア攻撃を受けたSaaSベンダー」の責任とは　規制当局の動きは

併せて読みたいお薦め記事

サイバー攻撃の実情

• 「Zoom」も「Teams」も利用不可に　大学がサイバー攻撃で受けた被害とは
• コロナ禍で医療機関に“ダブルパンチ”　なぜ病院は非情な攻撃を受けるのか
• 教育機関がサイバー攻撃を受けやすい納得の理由と、データを守り切る方法

　法律事務所Zweiback, Fiset & Colemanのサイバーセキュリティ弁護士マイケル・ズウェイバック氏は「UKGにとって第一の脅威は、実は規制当局の動きだ」と推測する。「規制当局は『民間企業は国際的な脅威アクター（攻撃者）に対抗し、セキュリティを強化する責任がある』と見なす」とズウェイバック氏は指摘する。

　弁護士のレイナ・クック・ラッシュ氏は「ユーザー企業が侵害を巡って提訴しようとしても、ベンダーが契約によって提訴を制限する場合がある」と語る。ラッシュ氏は法律事務所Baker, Donelson, Bearman, Caldwell & Berkowitzでデータインシデントレスポンスチームを率いている。「UKGのようなSaaSベンダーが、提訴を制限する何らかの文言を契約に盛り込まないのは珍しい」（ラッシュ氏）

　UKGに対する3つの訴訟の中には、電気自動車メーカーTeslaおよび大手食品・飲料メーカーPepsiCo子会社の従業員が起こしたものに加えて、UKGとともに医療機関West Penn Allegheny Health Systemを提訴したものがある。原告のラリー・クローク氏は、給与と勤務実態のずれを主張している。もう1つの訴訟は、この事件によって生じたサイバーセキュリティリスクに関するもの。いずれも集団訴訟に発展している。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。