ターゲットは1月初め、店舗で買い物をした多くの人のデビットカード情報やクレジットカード情報が流出した大規模なセキュリティ侵害について顧客に通知し始めた。顧客に宛てたある電子メールは、適切にも次のように始まりました。「聞いたり読んだりしたことがあるかもしれませんが...」
Target がこのメッセージを送信した時点で、小売業者がこのメッセージを送信してからほぼ 1 か月が経過していました。違反を確認した公に。この告白は、あるインターネット セキュリティ ライターの調査結果によって促されたもので、セキュリティ インシデントが始まったとされる 4 日後に行われました。
ターゲットがセキュリティ侵害を公表するまでに時間がかかりすぎたと批判する人もおり、小売業者が年末商戦のピークを損なうことを望んでいなかったのではないかと示唆している。しかし、良くも悪くも、ニュースをすぐに公開しないというターゲットの決定により、ターゲットは良い関係を築くことができた。ニーマン・マーカスのような他の企業と同様に、昨年下半期に発生したセキュリティ侵害を明らかにするまでに数週間もかかりました。バーンズ&ノーブル。
関連項目:
「これはまさにバランスを取る行為です」と、セキュリティ侵害の管理を支援するソフトウェアを企業に提供している Co3 Systems の CMO である Ted Julian 氏は言います。同氏は、企業は多くの場合、すべての詳細を把握する前に、思い切って侵害に関するニュースを公表したくないと指摘しています。 「朝に発表をして、夕方に全く矛盾した発表をしなければならないなんてことはしたくないですよね。」
一方で、小売業者が待ち時間が長すぎると、顧客を遠ざけているとして大きな批判を受ける可能性があります。本質的に、小売業者にとっては損をする状況です。
ターゲットはその両方の最悪の状況を経験したと主張する人もいるだろう。公開までに4日間もかかったことが批判されたが、詳細をすべて知る前に公開を行ったようだ。その後、この侵害が影響を及ぼした可能性があることが明らかになりました。さらに数千万人の消費者が最初に認識したよりも、デビットカードのPIN番号も盗まれました。
現時点では、米国企業がセキュリティ侵害の開示にどのように対処しなければならないかについての全国的な基準はありません。一部の 46 州とコロンビア特別区では、企業に開示を義務付ける法律が制定されていますが、ジュリアン氏によると、「各州の規制は若干異なり、トリガーも異なります。」これらの法律では、影響を受ける必要がある顧客の数や暴露された個人情報の種類に基づいて、開示の異なる基準が設定されている場合があります。
2000 年代半ばの悪名高い例では、データ集約会社の ChoicePoint が、州法で義務付けられていたため、カリフォルニア州の 35,000 人の顧客にセキュリティ侵害を通知しましたが、その必要のなかった他の州の追加の 100,000 人以上の顧客には直ちに通知しませんでした。それは当時です。
企業は舞台裏でさまざまな州法を順守するのに時間がかかり、通常は法執行機関に連絡して状況を調査します。後者を実行した後は、法執行機関の凍結が要求される可能性があります。これにより、小売業者は捜査に支障をきたさないように、侵害を公表するまでの時間を稼ぐことができます。
それまでの間、顧客のクレジット カードまたはデビット カードが侵害されたというニュースを伝えるのは銀行の責任になるかもしれません。これにより、迅速に開示することに自然な関心を持つ銀行機関と、待つことに意欲を示す企業との間に緊張点が生じる可能性があります。
個人情報盗難アナリストのロバート・シチリアーノ氏は、「小売業者は先頭に立ってもらいたいと思うかもしれないが、最終的には実際の利害関係を持っていない」と語る。この企業の本当の仕事は、「既存のシステムを強化し、最終的には消費者に通知することだ。最終的に(新しいカードを)発行するのはクレジットカード発行会社だ」と彼は言う。
日曜日に、ロイター通信が報じたTarget と Nieman Marcus に加えて、他の小売店もホリデーシーズン中に侵害された可能性があるとされていますが、名前は明らかにされていません。