経営破綻も起こりうるサイバー攻撃の怖い実態 顧客から集団訴訟相次ぎ､破産法適用を申請

2019年5月中旬に大量の個人情報流出を知らされた顧客企業は、もう1社あった。米大手の臨床検査企業「ラボコープ」からは、770万人の顧客の個人情報が流出した。

クエスト社と同じく、支払いウェブサイトへの不正アクセスが原因だった。ラボコープ社の場合、顧客の名前、生年月日、住所、電話番号、医療機関名、クレジットカード番号、銀行口座情報が盗まれたが、臨床検査結果や社会保障番号、保険ID情報は無事だったという。

そのほかにも少なくとも3社から個人情報が盗まれた。クエスト社を含め、AMCAとの取引を中止した大手顧客は計4社に上った。

大量個人情報流出事案の被害はまだまだ続いた。サイバー攻撃者は、盗んだ大量の個人情報の一部を何とオンライン上の闇市場である“ダークウェブ”で売りさばいていたのだ。アメリカの不正情報調査企業「ジェマナイ・アドバイザリー」が2019年2月末に公表した。ダークウェブでは、犯罪者たちが違法薬物やサイバー攻撃のツール、サイバー攻撃で盗んだ情報などを売買する。

ジェマナイ・アドバイザリー社がダークウェブで見つけたのは、生年月日、住所、社会保障番号など支払い関連情報20万件だった。ただし、サイバー攻撃者は売買するための情報をどんどん追加しており、件数はさらに膨れ上がった可能性がある。

同社は、被害者たちに警告できるよう直ちにAMCAに何度も連絡しようとしたが、連絡がつかなかったという。ただし、その日のうちに米連邦司法当局への通報はできた。

集団訴訟と連邦破産法の適用申請

2019年6月、AMCAらを相手取った複数の集団訴訟が起こされた。原告が最も問題視したのは3点あった。個人情報が流出したにもかかわらず、通知が不当に遅れたこと、顧客の機密情報を守るために適切なサイバーセキュリティ対策が取られていなかったこと、医療業界の規制に違反している恐れがあることの3つである。

AMCAの親会社は、2019年6月に連邦倒産法第11条（日本の民事再生法に相当）の適用を申請した。その理由は、「次々と事件が発生し」「巨大な経費がかかったため、債務者が支払えない金額にまで膨れ上がった」ためだという。

700万人以上にサイバー攻撃の被害について通知するため、380万ドル（約4億1800万円）かかった。さらに、サイバー攻撃発覚後の対応でサイバーセキュリティのコンサルタントやITの専門家の動員に40万ドル（約4400万円）を要した。

AMCAの受けた打撃は、こうした金銭面や社外の評判だけにとどまらなかった。親会社が裁判所に提出した書類によると、AMCAは社員数を113名から25名にまで減らすことを余儀なくされた。