英国の教育大手ピアソン、データ侵害を隠蔽したとして100万ドルの罰金

8月16日、米国証券取引委員会（SEC）は、英国の多国籍教育出版サービス会社であるピアソンが、2018年のデータ侵害における開示プロセスの不適切な処理の申し立てについて和解に達したと発表した。教育大手ピアソン、データ侵害を軽視したとして100万ドルの罰金

ピアソンは違反を直ちに開示しなかった
SECは、ピアソン氏が「調査結果を認めるか否かを怠り」、1万3000ドルの損害をもたらした2018年のデータ侵害を隠蔽し軽視しようとした疑いを解決するために、100万ドルの民事罰金を支払うことに同意したと発表した。学校の生徒と管理者のログイン資格情報が漏洩しました。

SECによると、ピアソン氏は2019年7月に提出した半年ごとの審査で、データ侵害が発生した後もデータ侵害を「仮説上のリスク」と呼んだ。同月の声明でピアソン氏は、流出した情報には生年月日や電子メールアドレスが含まれていた可能性があり、実際、同社はこれらの記録が盗まれたことを当時認識していたと主張した。

「この声明でわかるように、ピアソンはメディアが侵害にアクセスできるようになるまで、投資家にこの侵害を開示しないことを選択し、その後もピアソンは過小評価していた」「公開企業は増大するサイバー侵入の脅威に直面しているため、サイバー侵入に関する正確な情報を投資家に提供する必要がある」重大なサイバー事件。」

違反はメディアの取材後にのみ公表された
ピアソンは、2019年7月に米国証券取引委員会とのやりとりの中で、同社がデータプライバシー漏洩のリスクに直面する可能性があると述べた。それでもピアソンは1年前に起きたデータ侵害については公表しなかった。同社は影響を受ける顧客に違反を通知した後にのみ、米国証券取引委員会にリスク要因の開示を提出した。

米国証券取引委員会は8月16日に発表した声明で、「2019年7月26日に委員会に提出されたピアソンの報告書では、同社がデータ侵害のリスクを抱えていたと指摘したが、ピアソンが実際に経験したことは開示されていなかった」と説明した。データ侵害です。データ侵害です。」

ピアソンが影響を受ける顧客に侵害通知を送信してから 2 週間後の 2019 年 7 月 31 日、ピアソンは侵害されたデータの行数とデータ型を含む準備済みのメディア ステートメントを発表しました。

SEC のプレスリリースによると、この教育大手は AIMS Web 1.0 セキュリティ アップデートを受け取ってから少なくとも 6 か月間パッチを適用しませんでした。ハッカー重大な脆弱性があるとしながらも、同社は顧客のデータを保護するために厳格な「安全策」を講じていると述べた。