不倫サイト集団訴訟は､だいたい成立しない 例外的に認められそうのは1つのケースだけ

しかし、アシュレイ・マディソンの場合には、典型的なデータ侵害シナリオに当てはまらない可能性がある。同社によると、メンバーのすべてのクレジットカード番号をサイト上に保管していたわけではないため、ハッカー集団によって公表されてはいないとのことである(盗難データに関する別の報告書では、一部のクレジットカード番号とセキュリティーコードがオンライン上に掲載されたと述べられていた)。

サイバーセキュリティーの訴訟担当者であるHunton & Williamsのジェイソン・ビーチ氏は、アシュレイ・マディソンのユーザーが支払カードデータが盗難されたことを証明できなければ、差し迫った損害に直面していると、裁判官を説得することは難しいと語った。

履歴削除のために19ドル払ったのに！

一方で、アシュレイ・マディソンのユーザー・グループのひとつは、提訴する権利の確立に何ら問題は抱えていない(冒頭に記した「朗報」の部分）。同サイトに綴られたプロフィールを削除するために19ドルを同サイトに支払ったユーザーが、後にハッカー集団にさらされた自分の情報を見つけたことで、支払った対価に相当するサービスを受けていないことが明らかになっているのだ。

そのため、このユーザーはすでに損害を受けたことになると、ビーチ氏は語った。「契約上の理論は証明が容易です。それは実際に損害なのです」。

アシュレイ・マディソンを相手にすでに申し立てられた3件の訴訟 (1件はカリフォルニア州の連邦裁判所、1件はミズーリ州、1件はテキサス州) では、特に19ドルの削除料金を支払ったユーザーに代わって審理を請求している。

これらの訴訟では、アシュレイ・マディソンは最低限、提供しなかったサービスに対して、ユーザーに払い戻しをしなければならないと主張している。それはまさに、アメリカの集団訴訟システムで対処するよう考案された請求内容の典型で、アシュレイ・マディソンがそれを回避することは困難である。

集団訴訟側では、削除料金にだけでなく、追加の損害が発生したという主張を試みる。アシュレイ・マディソンのユーザーが自らの時間とお金を使って、クレジット情報と身元情報を保護するサービスと契約しなければならず、さらに危険にさらされたカードを取り換える必要があった、と原告側は主張する。

これは成り立つだろうか。確かに、ハッカー集団に攻撃された企業は、顧客に対して1年または2年間のクレジット監視を提供することに同意する。しかし、アシュレイ・マディソンは、ユーザーのカードデータはサイトから盗まれていないと強く主張している。仮にこれが真実であれば、同社は間違いなく、ユーザーの追加支出に関する損害を補填するいわれはない。そして、そのように主張するであろう。

アシュレイ・マディソンのユーザーは、このほかにも訴状において、別の2つの根拠を提示している。しかし、どちらも勝訴は難しいと、データ侵害の被告側代表を専門とするサイバーセキュリティー関連の弁護士ビーチ氏は語る。