因果応報：データ侵害集団訴訟の復活

データ侵害に関する集団訴訟が再び増加傾向にある。Lex Machinaの最近の報告書は、過去2年間に多くのサイバーセキュリティ実務者が直接目撃してきた事実を裏付けている。この調査結果は、長年にわたるベストプラクティスも再確認している：被害組織が集団訴訟や規制手続きへの対応を迫られた場合、事前の準備がコスト削減と防御体制の強化につながる。

報告書によると、2023年には2,040件のデータ侵害集団訴訟が提起され、2022年の約3倍に達した。 これらの訴訟の被告は様々な業界にわたり、金融サービスや医療企業が最も頻繁に標的とされた。また、これらの訴訟は多地区訴訟（MDL）を伴うことが多く、例えばプログレス・ソフトウェアのMOVEitファイル転送ソフトウェアが関与した2023年のサイバー攻撃に端を発する、ボストン連邦裁判所におけるMDLなどが挙げられる。

報告書はさらに、データ侵害事件を含む消費者集団訴訟件数が最も多い連邦管轄区を列挙している。上位を占めたのは、カリフォルニア中央地区（筆者の一人が所在）、フロリダ中部地区（他の二人の著者が所在）、およびイリノイ北部地区であった。

主なポイント

1. 投資。企業はサイバーセキュリティへの投資を継続することが賢明である。これには、組織を守る強固なサイバーセキュリティプログラムの開発だけでなく、プレイブックを含む適切に設計されたインシデント検知・対応プログラムも含まれる。これにより組織は、疑わしいサイバーセキュリティインシデントを迅速に特定・調査・対応できるようになる。 複数の業界レポートや事例証拠が示すように、インシデント対応プレイブック（机上演習を通じて検証済み）を保有する組織は、データ侵害のコストを軽減できるだけでなく、訴訟や規制手続きにおいてもより優れた防御態勢を構築できる。
2. 何が問題なのか？データ侵害の原告らは、損害が（往々にして）存在せず、訴訟適格の欠如を理由に訴訟が却下される可能性があるにもかかわらず、連邦裁判所で請求を追求し続けている。このように、原告側弁護士団は、この種の事案における訴訟適格に関する画期的な判決 である2021年の最高裁判決 「トランスユニオン事件」 によっても抑止されていないように見える。 連邦裁判所でデータ侵害集団訴訟に直面する企業は、早期の事案評価の一環として、訴訟が提起された地区裁判所によっては、代表原告に訴訟適格性がないという主張を含む却下動議の可能性を検討するのが賢明である。外部の法律顧問を早期に巻き込むことも、早期和解協議を行うか、州法に基づく請求について決定的動議を提出するかについての相対的な利点と欠点を企業が評価するのに役立つ。
3. サプライチェーンリスク。大規模な攻撃は、プログレス・ソフトウェアへの攻撃や2017年のエクイファックスデータ侵害事例のように、しばしば大規模な集団訴訟を招く。こうした攻撃とそれに続く訴訟は、第三者に対する義務、ベンダーの責任、因果関係の立証といった興味深い問題を提起する。 プログレス・ソフトウェアとエクイファックスはいずれも、複数業界にまたがるサプライチェーンの主要構成要素である。これらの事例は、規模や評判に関わらず、全ての組織がサプライチェーンを徹底的に審査する必要があることを証明している。組織はまず主要ベンダーを優先し、弁護士と連携してそれらのベンダーとの契約を分析することから始められる。また、ベンダーやその他の第三者の侵害に起因する請求に対する保険適用範囲も検討すべきである。 

要するに、サイバーセキュリティ対策への投資は、抑止力と訴訟の観点から見て、十分に価値のある支出である。机上演習、サプライチェーンリスク管理、訴訟戦略は、データ侵害集団訴訟の影響を軽減する上でいずれも重要な役割を果たす。フォリー法律事務所のチームは、こうした重大なリスクに直面した組織の準備、対応、防御において、全国規模での実績を有している。

続きを読む

• 遠隔患者モニタリングプラットフォームに新たなサイバーセキュリティとプライバシーガイドラインが導入される