ルイ・ヴィトン、ディオール、ティファニーがデータ侵害で2,500万ドルの罰金
Original Title: Louis Vuitton, Dior, and Tiffany fined $25 million over data breaches
Published (UTC): 2026-02-13T09:35:15+00:00
要旨(日本語)
– 韓国の個人情報保護委員会(PIPC)がLVMH傘下のLouis Vuitton、Christian Dior Couture、Tiffanyに対し、顧客データ保護の不備による不正アクセス・漏えいで制裁金を科した。
– 3社はいずれもクラウド型の顧客管理サービス(SaaS)を通じて侵害を受け、累計550万件超の顧客情報が流出した。
– Louis Vuittonは従業員端末のマルウェア感染を起点にSaaSが侵害され、約360万件が漏えい。2013年から運用していたが、外部アクセス時のIP制限や安全な認証が欠如していたとして1,640万ドルの罰金と、公式サイトでの公表命令を受けた。
– Google研究者は、この一連の攻撃をSalesforceプラットフォームを狙うShinyHuntersに関連付け、同集団はLVMHシステム侵害を主張している。
– Diorはカスタマーサービス担当者がフィッシングでだまされSaaSへの権限を付与し、約195万件が漏えい。2020年からの運用で許可リスト未実装、データ一括ダウンロード制限なし、アクセスログ未点検により発見が3カ月超遅延。
– Diorは漏えい把握後の当局報告が法定72時間(PIPA)を超過し5日後となり、940万ドルの制裁金対象となった。
– Tiffanyは音声フィッシングでカスタマーサービス担当者がだまされ、約4,600件が漏えい。IPベースのアクセス制御や一括ダウンロード制限の不備、影響対象者への通知の遅延が指摘され、185万ドルの罰金。
– 3社の漏えい情報には、氏名、電話番号、メールアドレス、住所、購買履歴などの機微情報が含まれた。
– PIPCは、SaaSの利用によって企業の安全管理義務が免責されることはなく、責任がベンダーに移転するわけでもないと強調した。
– 侵害は昨年、韓国内の各ブランド運営体において発生し、アクセス制御・認証・監査の基本対策不足と報告義務違反が横断的課題として浮き彫りになった。
– 記事末尾では、Tinesによる自動化での対応効率化を提案するガイドが紹介され、手動ワークフローの遅延解消と信頼性向上の必要性が示唆された。