「ランサムウェア攻撃を受けたSaaSベンダー」に規制当局が求める責任とはKronos給与計算SaaSのランサムウェア被害と法的影響【後編】

Kronosの給与計算SaaSに対するランサムウェア事件は、不利益を被ったユーザー企業の従業員からの訴訟問題だけでなく、政府機関といった規制当局からの取り締まり強化に発展する懸念がある、と専門家は指摘する。

2022年03月08日 08時15分 公開
[Patrick ThibodeauTechTarget]

 前編「ランサムウェアで給与過少払い テスラ、ペプシコ系従業員によるSaaS訴訟の中身」は、KronosのSaaS(Software as a Service)型給与計算・勤怠管理システムが2021年12月にランサムウェア(身代金要求型マルウェア)攻撃を受けて停止した事件を巡る訴訟問題を取り上げた。このシステム停止によって一部のユーザー企業は正確な給与計算ができなくなり、勤務時間の把握を推測に頼った結果、給与の過少支払いが生じた。これを理由としてユーザー企業の従業員が、Kronosの親会社であるUKGを提訴している。

 UKGが直面しているリスクはこれらの訴訟だけではない。法律の専門家は、連邦政府や州政府、外国政府による規制の執行もリスクだと指摘する。

「ランサムウェア攻撃を受けたSaaSベンダー」の責任とは 規制当局の動きは

 法律事務所Zweiback, Fiset & Colemanのサイバーセキュリティ弁護士マイケル・ズウェイバック氏は「UKGにとって第一の脅威は、実は規制当局の動きだ」と推測する。「規制当局は『民間企業は国際的な脅威アクター(攻撃者)に対抗し、セキュリティを強化する責任がある』と見なす」とズウェイバック氏は指摘する。

 弁護士のレイナ・クック・ラッシュ氏は「ユーザー企業が侵害を巡って提訴しようとしても、ベンダーが契約によって提訴を制限する場合がある」と語る。ラッシュ氏は法律事務所Baker, Donelson, Bearman, Caldwell & Berkowitzでデータインシデントレスポンスチームを率いている。「UKGのようなSaaSベンダーが、提訴を制限する何らかの文言を契約に盛り込まないのは珍しい」(ラッシュ氏)

 UKGに対する3つの訴訟の中には、電気自動車メーカーTeslaおよび大手食品・飲料メーカーPepsiCo子会社の従業員が起こしたものに加えて、UKGとともに医療機関West Penn Allegheny Health Systemを提訴したものがある。原告のラリー・クローク氏は、給与と勤務実態のずれを主張している。もう1つの訴訟は、この事件によって生じたサイバーセキュリティリスクに関するもの。いずれも集団訴訟に発展している。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news175.jpg

日清食品がカップ麺の1〜5位を独占 2024年、最も手に取られた新商品は?
カタリナマーケティングジャパンは、カタリナネットワーク内小売店における年間売り上げ...

news070.jpg

「イカゲーム」人気にドミノ・ピザも便乗 NetflixとCM共同制作の狙いは?
ケイト・トランブル氏がDomino’sのCMO(最高マーケティング責任者)に正式に就任して初...

news082.jpg

2024年記憶に残った「生成AI活用事例」は? 課長以上に聞くマーケトレンド
アイブリッジは、マーケティング業務に携わっている従業員数100人以上の企業在籍の課長以...