電通の海外子会社Merkle(マークル)の個人情報漏洩で元従業員150人超が集団訴訟検討

セキュリティニュース

投稿日時: 更新日時:

電通の海外子会社Merkle(マークル)での個人情報漏洩で元従業員150人超が集団訴訟検討

電通グループの海外子会社(英国拠点)で発生した情報漏えいをめぐり、150人以上の元従業員が集団での法的措置を検討していることが明らかになりました。
問題となっているのは、電通グループ傘下のCXエージェンシー「Merkle」のネットワークから、攻撃者により複数のファイルが盗み出されたサイバーインシデントです。

概要

電通側から影響を受けたとされる人たちに送付された通知(10月27日付)の内容によると、

  • Merkleのネットワークから「特定のファイルが持ち出された」こと

  • そのファイルには、少なくとも以下が含まれている「可能性が高い」と見られていること

として、次の項目が列挙されています。

漏洩した可能性のある個人情報

  • 銀行口座・給与支払関連の情報

  • 給与額などの給与・報酬情報

  • 国民保険番号(National Insurance Number)

  • 住所・電話番号・メールアドレスなどの個人連絡先情報

会社は、法執行機関への通報とサイバーセキュリティ企業による調査を進めていると説明し、影響を受けたとされる人には、クレジット情報やダークウェブ上での不正利用を監視できる「Experian Identity Plus」1年分の無償提供を案内しています。

一方で、元従業員の側からは、

  • その後の説明やアップデートがほとんどなく、「何がどこまで漏えいしたのか分からない」

  • 通知文も「含まれていると想定される」といった表現にとどまり、具体性に欠ける

といった不満の声が上がっている状況です。

10年以上前の退職者も対象に ― データ保存期間への強い疑問

今回の漏えいで特に問題視されているのが、既に退職して10年以上経過した元従業員のデータまで対象に含まれている点です。

報道によれば、影響を受けたとされる元従業員の中には、退職から10年以上が経過しているにもかかわらず、

  • 銀行口座情報

  • 給与情報

  • 連絡先情報

などが企業側に保持され続けていたケースが確認されています。

英国では、税務関連記録の標準的な保存期間として、

  • 6年+当該年度(合計7年程度)

が一般に目安とされており、UK GDPRやデータ保護法では、

個人データは、その収集目的に必要な期間を超えて保存してはならない

と定められています。

そのため元従業員からは、

  • 「なぜ退職から10年以上データが保持されていたのか」

  • 「保存期間や削除ポリシーは妥当だったのか」

といった点への疑問や不信感が強く向けられており、今後の規制当局の調査や訴訟における重要な争点になると見られます。

元従業員の集団訴訟の動き

英国ではすでに、影響を受けた元従業員の間で、

  • WhatsAppグループに150人以上が参加

  • 複数の非公式グループが立ち上がり、集団での法的措置(グループ訴訟)を検討

する動きが出ています。

合わせて、オンライン上には「Join the Claim」などのプラットフォーム上で、

  • 電通グループの現・元従業員

  • 関連クライアントの従業員や一部の顧客

など、影響を受けた可能性のある人々から「関心登録」を受け付けるページも開設されています。
これらのサービスは法律事務所そのものではなく、集団訴訟を手掛ける英国の弁護士事務所と被害者をマッチングする仲介サービスであり、現時点では「被害の規模と法的な可能性を見極めている段階」とされています。

ICOへの苦情と、企業が直面しうるリスク

英国のデータ保護監督機関である ICO(Information Commissioner’s Office)には、すでに今回の漏えいに関する苦情が寄せられていると報じられています。
電通側も、漏えい規模が法定の報告基準を超えたことから、すでにICOへインシデント報告を行っています。

ICOは、データ保護法にもとづき、以下のような対応を取ることができます。

  • 企業の情報管理やセキュリティ対策について調査

  • 必要に応じて、改善勧告や是正措置の要求

  • 重大な違反が認められた場合、行政制裁金(罰金)の賦課

特に重大なケースでは、企業に対して、

  • 最大で 875万ポンド(約1,100万ドル)
    または

  • 世界売上高の2%

のいずれか高い方を上限とする罰金が科される可能性があります。
これはあくまで監督当局が科す制裁であり、元従業員や顧客に対する損害賠償とは別枠です。

クライアント企業にも影響

今回のインシデントは、従業員・元従業員だけでなく、電通グループのクライアント企業側の顧客データにも影響が広がっています。

英国の鉄道会社 LNER は、顧客向けの通知において、

  • 顧客コミュニケーションを担う外部サプライヤーのファイルに不正アクセスがあり、

  • 顧客の連絡先情報および一部の過去の乗車情報が閲覧された可能性がある

と明らかにしました。

一方で、LNER は、

  • 銀行口座情報

  • 支払いカード情報

  • パスワード

などは影響を受けていないと説明しており、引き続き詳細な調査を実施中としています。

今回のケースは、

  • 「広告・マーケティンググループの子会社でのインシデント」から

  • 「鉄道事業者の顧客データ」へと波及した

という意味で、サプライチェーン型の個人情報漏えいとしても注目すべき事案です。