2016年末、ハッカーが5,700万人以上のUberの運転手と乗客の個人データを盗み出した。Uberが違反を公表するのに約1年かかった。その後2人の男が罪を認めるまでにさらに2年かかった。8月、司法省は、2016年に連邦取引委員会の調査官に事件を報告しなかったとされる容疑で、Uberの元最高セキュリティ責任者ジョセフ・サリバンを司法妨害と重罪隠蔽で起訴した。

問題となっているのは、サリバンの報告の遅さだけではない。Uberはすでに2018年に、45日以内の通知が義務付けられていることが多い州のデータ侵害開示法に違反しているとして、全米の弁護士との間で1億4800万ドルの和解金を支払っている。しかし、今回の新たな起訴状では、サリバンが2016年にUberの社内での取り組みに参加し、ハッカーに同社のバグバウンティプログラムを通じて10万ドルを支払い、盗まれたデータを削除し、事件に関する機密保持契約に署名することで、積極的に違反を隠ぺいした、と主張している。

ニューヨーク・タイムズが取得した法廷文書によると、サリバンは、2014年に起きた無関係のUberのデータ侵害と同社のデータセキュリティ慣行全般に関する既存の調査で連邦取引委員会に協力している間に、そうしたという。

このケースに記載されている状況は、特殊で極端なものであり、連邦検察が他のケースでこの戦略を使用するためには、全く同じ条件が存在しなければならず、広範囲に適用される前例を設定することはできそうにない。しかし、サリバンの起訴は、データ漏洩への対応を巡って企業幹部が刑事責任を問われ、懲役8年にも及ぶ懲役刑に処される可能性のある米国初の直接的な事例となる。今回の起訴は、このような機密性の高い高額な修復作業を怠った企業役員に対する説明責任の新時代の幕開けとなる可能性を秘めている。

サリバンの代理人は、記者団に対し、当時のUberの企業方針は「サリバンや彼のグループではなく、Uberの法務部門がこの件を開示すべきかどうか、誰に開示すべきかを決定する責任があることを明確にしていた」と述べた。

2017年11月に2016年の違反事件を公開したブログ記事の中で、2017年8月に入社したばかりのUberのダラ・ホスローシャヒCEOは、「なぜ1年後の今、この話をしているのかと疑問に思っているかもしれない。私も同じ疑問を持っていた」と付け加えている。

Khosrowshahiは2017年にサリバンとセキュリティ担当弁護士のクレイグ・クラークを解雇した。Uberの前はFacebookで最高セキュリティ責任者を務めていたサリバンは、現在はインターネットインフラ企業Cloudflareの最高情報セキュリティ責任者を務めている。

Uberの2017年の違反通知を受けての報道によると、サリバン以外の他の会社の役員や従業員は、この仕組みを利用して、違反をバグ・バウンティの開示のように扱い、ハッカーに金を払うという計画を承認し、実行に協力していたとのことだ。

7月に退社したUberの長年の最高情報セキュリティ責任者であるジョン・フリンは、2018年2月に上院商務委員会に対して、Uberは「消費者に報告しないというミスステップを犯し、法執行機関に報告しないというミスステップを犯した」と述べています。

Image by Uber