Google+のデータ漏洩バグについて沈黙を守ったアルファベットが窮地に

グーグルの親会社は、50万人のユーザーデータを漏洩させる可能性があったバグ（3月に秘密裏に修正済み）を投資家に開示しなかったとして訴訟を起こされた。

先週、GoogleはGoogle+ People APIの1つにバグを発見し修正したことを認めた。このバグにより、サードパーティ製アプリが、公開とマークされていない名前、メール、性別、年齢などのプロフィール欄にアクセスできてしまうという。

同社は、約438のサードパーティ製アプリが約50万人のユーザーのデータにアクセスできた可能性があると推定したが、調査の結果、開発者がこのバグに気づいていたという「証拠」は見つからなかったと述べた。

同社はこの不具合について沈黙を守っていた。同社によると、データ保護担当者は、この不具合が開示に必要なさまざまな基準に達していないと判断したという。ウォール・ストリート・ジャーナルが記事を掲載するまで沈黙を守っていた。

セキュリティ研究者らは同紙が「恐怖をあおっている」と批判したが、投資家らは違った見方をした。同社の株価はその後の2回の取引で1株当たり67.75ドル下落した。

投資家のアダム・ウィックス氏は、アルファベットが沈黙を守っているとして、カリフォルニア州北部地区連邦地方裁判所に訴訟を起こした。訴訟には、ラリー・ペイジCEO、グーグルCEOのサンダー・ピチャイ氏、グーグルCFOのルース・ポラット氏も名指しされている。

訴状（PDF）は、同社がバグの存在を明らかにすべきだったと主張し、幹部らが「ユーザーの個人情報に影響を及ぼすセキュリティ上の欠陥に関して、重大な虚偽と誤解を招くような発言を繰り返した」と主張している。

訴状は、ウォール・ストリート・ジャーナル紙のコメントに言及し、グーグルは社内メモでバグを公表すれば「直ちに規制当局の関心を引く」と警告されていたにもかかわらず、この件を黙っていたと主張した。

提出書類には、バグを公表すればピチャイ氏が米国議会に召喚される可能性が高かったとも記されていた。これは、フェイスブックとケンブリッジ・アナリティカのスキャンダルでマーク・ザッカーバーグ氏が議会に出席せざるを得なかった頃と同時期だった。

苦情は、バグ発見後の4月23日と7月23日に証券取引委員会に提出された2つの10-Q書類に記載されている内容を中心にしている。

これらは、2017年12月31日までの年度以来、リスク要因（グーグルは、認識された、あるいは実際のセキュリティ侵害を含むと認めている）に「重大な変化はない」と主張した。

苦情では、バグやその潜在的な影響について言及がなかったため、これらの記述は「重大な虚偽および/または誤解を招くもの」であるとされた。

特に、10-Qでは、「この会社のセキュリティ対策の不備により、会社の評判と営業成績へのダメージ、および顧客の喪失が差し迫っており、避けられないものであった」という点を明らかにしていなかった。

アルファベットはまた、同社のセキュリティ対策が「最近、大規模に失敗した」こと、セキュリティ対策が「従業員のミス、不正行為、システムエラー、または脆弱性により」侵害されたこと、セキュリティ保護がユーザーの個人情報を保護していなかったことを投資家に知らせなかった。

「被告らの不法行為および怠慢、ならびに同社の普通株の市場価値の急激な下落の結果、原告およびその他の原告団メンバーは多大な損失と損害を被った」と訴状は主張した。

また、原告団は、クラスのメンバー（2018年4月23日から2018年10月7日の間にアルファベットの普通株を取得した人々）がこの事件を知っていたら、株を購入しなかったかもしれない、あるいは株の価格はもっと低かったかもしれないと主張した。

ペイジ氏、ピチャイ氏、ポラット氏は昨日裁判所から召喚状を受け取り、21日以内に訴状に応じなければならない。

ケースマネジメント会議は2019年1月11日に予定されています。®