個人データを、ビジネスを守る、IIJ

米国 FTCがZoomに同意命令へ


Zoomと同意

2020年11月9日、米国の連邦取引委員会(Federal Trade Commission)(以下「FTC」)は、Zoom Video Communications, Inc.(以下「Zoom」)と同意に達し、同意内容を踏まえた同意命令案について、委員会の賛成を経たと発表した。30日間のパブリック・コメントの後、再度委員会の議決を経て、同意命令が発出される見込みである。

FTCの申立内容

FTCは、Zoomの以下の一連の欺瞞的で不公正な慣行は、連邦取引委員会法に違反しているとする。

  • Zoomは、少なくとも2016年以降、利用者の通信を保護するために「end-to-endの256ビット暗号化」(end-to-endの暗号化とは、送信者と受信者のみがコンテンツを読み取ることができるように通信を保護する方法)を提供していると宣伝していたが、実際のセキュリティレベルはそれよりも低いものであった。
  • Zoomは、会議の記録について会議の終了直後に暗号化されて保存されていると宣伝していたが、一部の録音は、Zoomのサーバーに暗号化されずに最大60日間保存されてから、安全なクラウドストレージに転送されていた。
  • 2018年7月のMacデスクトップアプリケーションの手動更新の一環として、Zoom Opener Webサーバーと呼ばれるソフトウェアが密かにインストールされ、一部の利用者のセキュリティを侵害していた。具体的には、Zoom Opener Webサーバーは、一般的な種類のマルウェアから利用者を保護するApple SafariブラウザーセーフガードをバイパスしてZoomを自動的に起動して、利用者を会議に参加させていた。Zoom Opener Webサーバーがなければ、Safariブラウザーは、Zoomアプリを起動する前に、利用者にアプリを起動するかどうかを尋ねる警告ボックスを提供していた。
  • Zoomが利用者のセキュリティを保護するためのオフセット処理を実装しておらず、見知らぬ人によるリモートビデオ監視の利用者のリスクを高めていた。
  • Zoom Opener Webサーバーのソフトウェアは、利用者がZoomアプリを削除した後も利用者のコンピューターに残り、特定の状況では、利用者の操作なしでZoomアプリを自動的に再インストールしていた。Appleは、2019年7月の自動更新により、Zoom Opener Webサーバーを利用者のコンピューターから削除した。
  • 2018年7月のアップデートに関するZoomのリリースノートは、アプリのアップデートが利用者のコンピューターにZoom Opener Webサーバーをインストールすること、Safariブラウザーの保護手段を回避すること、または利用者がZoomアプリを削除した後でも利用者のコンピューター上それが残ることを適切に開示していなかった。

Zoomの対応

今回の同意により、Zoomは、プライバシーとセキュリティに関する不実表示を禁止され、セキュリティリスクを回避するため潜在的な内部および外部のセキュリティリスクを毎年評価および文書化し、脆弱性管理プログラムを実装し、多要素認証やデータ削除制御の導入などの保護手段を導入するなど、包括的な情報セキュリティプログラムを確立および実装する必要がある。また、セキュリティ上の欠陥がないかソフトウェアの更新を確認し、更新によって第三者のセキュリティ機能が妨げられないようにする必要がある。さらに、Zoomは、FTCが承認する権限を有する独立した第三者によるセキュリティプログラムの隔年評価を取得し、データ侵害が発生した場合、FTCへ通知する必要がある。

【FTC プレスリリース】
https://www.ftc.gov/news-events/press-releases/2020/11/ftc-requires-zoom-enhance-its-security-practices-part-settlement

【同意命令案】
https://www.ftc.gov/system/files/documents/cases/1923167zoomacco2.pdf

 

★ソリューション・コンテンツ

米国関連ニュース・コンテンツ

制裁事例関連ニュース・コンテンツ

世界各国のプライバシー保護規制一覧(2020年9月29日更新)

IIJでは2019年4月1日公開の初版、2020年3月31日公開の更新版に続き、日本企業からお問合せの多い①31ヵ国・地域(今回新たに12ヵ国を追加)、②17調査項目(クッキー規制を含める)を対象に、西村あさひ法律事務所様の協力も得て、この度「世界各国のプライバシー保護規制の概要一覧(グローバル・オーバービュー)」の更新版(2020年9月29日時点)を作成しました。「a. プライバシー保護規制のグローバルマップ」、「b. 各国毎のプライバシー保護規制比較一覧表」、「c. 31カ国・地域毎の個別レポート」といった3種類のレポートで構成されています。

★サービス

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

IIJプライバシー保護規制対応ソリューション

IIJが展開するプライバシー保護規制対応ソリューションの全体像をご案内しています。

 

関連記事