モルガン・スタンレー、データセンターでの廃棄違反に対し6000万ドルの和解に合意

銀行は不正行為を否定しているが、集団訴訟の和解金を支払うことになる

モルガン・スタンレーが、データセンターの機器廃棄にまつわる事件に起因した2件のデータ漏洩問題をめぐり、6000万ドルの和解金の支払いに合意しました。

2020年にすでに規制当局に多額の罰金を支払った同行は、今回は2016年に2か所のデータセンターを廃止した際に失われたウェルス・マネジメント（資産管理）関連の顧客データに関する集団訴訟で和解しました。

同行は今週、影響を受けた顧客に対して6000万ドルの和解金を支払うことに合意しました。約1500万人の顧客を代表する集団訴訟の予備的和解案は、金曜日の夜にマンハッタンの連邦裁判所に提出され、現在は米連邦地裁のアナリサ・トレス裁判官の承認を求めています。

影響を受けた顧客は、少なくとも2年間の詐欺保険の適用を受けることができ、また、最高1万ドルまでの自己負担分の払い戻しを申請することができます。モルガン・スタンレーは和解の中で不正行為については否定していますが、データ・セキュリティの実践で「実質的な」アップグレードを行ったと述べています。

「我々は、数年前に発生したこれらの問題に関して、影響を受ける可能性のあるすべての顧客に事前に通知しており、喜んでこの関連訴訟を解決を行う」同行はこのように月曜日に声明でコメントしました。

モルガン・スタンレーのITAD（IT資産適正処分）の失敗

今回の和解は、5年近く続いた事件の最終的な解決となります。2020年7月、モルガン・スタンレーは顧客に通知を出し、個人情報に関連する2件の潜在的な事故について警告を発しました。

同行によると、2016年に2か所のデータセンターを廃止する際、ベンダーがハードディスクから顧客データを含むすべての情報を消去していなかった可能性があるといいます。また、2019年にはハードウェアの更新時に支社のサーバーを紛失した可能性があり、削除された情報の一部がディスク上に残っていて暗号化されていない可能性があると述べています。

米国通貨監督庁（OCC）は、2016年に2つのウェルス・マネジメント・データセンターを適切に廃棄しなかったとして、2020年にモルガン・スタンレーに対し6000万ドルの罰金を課しました。OCCによると、同行は米国にある2か所の施設の廃止について「適切な監視を行わなかった」と話しています。

この情報漏えいの結果、同行は8件の訴訟に直面し、その後それらは1件の集団訴訟に統合されました。同行は、適切なIT資産廃棄（ITAD）をめぐる「業界標準を無視した」ことで非難されました。

提出書類の中では、銀行は10万ドルを節約するために、コンピュータ機器廃棄の際に「利益重視の決定」の一環として、IBMを排除し「無名かつ無資格の業者」を選定したとし非難されました。その後、同行は機器の撤去、消去、リサイクルをTriple Crownという会社と契約しました。

Triple Crown社は、適切な廃棄を行わず、別のITAD企業AnythingITに機器を売却し、Morgan Stanleyに対しては機器の廃棄を報告したと報じられています。AnythingITはその後、デバイスの消去を行わず、KruseComとして知られる別のITAD企業に機器を売却し、同社は機器を廃棄または売却してしまったとされています。

紛失したハードウェアの一部が回収されなかったことは認めたものの、同行はデータ紛失の結果、顧客に被害は及んでいないと終始主張しています。

2019年の事件では、銀行は支店から約500台のWide Area Application Servicesの撤去と交換を行いましたが、その後の棚卸しですべての機器の報告を行うことができませんでした。メーカーは同行に対し、「ソフトウェアの欠陥」によって、削除された情報の一部が暗号化されずにディスクに残っていた可能性があると伝えたと報じられています。

この記事は海外Data Centre Dynamics発の記事をData Center Cafeが日本向けに抄訳したものです。