四年で四度の情報漏えい エドテック大手 政府から落第点

　FTC（Federal Trade Commission：連邦取引委員会）によると、教育テック大手である Chegg のずさんなデータセキュリティ対策のために、学生や従業員の個人情報が 4 年の間に、1 度ならず 4 度も、さまざまな形で漏洩していたことが明らかになった。

　これを受けて、FTC は本日（編集部註：2022 年 10 月 31 日）、機密情報の暗号化、ユーザーや従業員への多要素認証の提供、個人情報を収集・保管する量の制限、セキュリティ対策に関する従業員教育など、データ保護の徹底を同社に命じた。これらは、ずっと前にやっておくべきだったことだ。

　さらに、FTC は Chegg が、4 度の情報漏洩によって個人情報が流出した 4,000 万人のユーザーと従業員の全員に通知していたわけではなかったと指摘した。

　これを受けて、FTC の命令[PDF]に従い、Chegg は今後 60 日以内に、「暗号化されていない社会保障番号、金融口座情報、生年月日、ユーザーアカウント認証情報、医療情報のいずれかが流出した各個人」に対しても、通知をしなければならないことになった。

　「Chegg は数百万人の学生の機密情報を雑に扱っていた」と、FTC の消費者保護局のサミュエル・レヴィーン局長は声明で述べた。「本日の命令は、同社がセキュリティ保護措置を強化し、消費者に自分のデータを削除する簡便な方法を提供し、フロントエンドにおける情報収集を制限することを求めるものである」

　Chegg は、主に高校生や大学生を対象に、電子教科書のレンタル、宿題の手伝い、試験対策などを含む、オンライン教育サービスや製品を大量に提供している。また、上記の FTC の訴状[PDF]によれば、同社は大量の個人データも収集している。