American First Financeで発生した大規模データ流出事件、内部者脅威が浮き彫りに。

American First Finance（以下AFF）で大規模なデータ流出事件が発生し、約68万9千人の顧客情報が流出しました。この事件は、FinWise Bankの元従業員が権限を乱用して無断で顧客情報にアクセスしたことが原因とされています。事件は2024年5月31日に発生し、2025年6月18日に発覚しました。

今回の事件は、内部者による脅威の深刻さを改めて認識させ、AFFのデータセキュリティ対策に対する疑問を呼び起こしています。Dallasに所在するAFFは、自社のセキュリティチームが内部システムで異常な活動を検知したことで事件を把握しました。流出した情報には名前を含む個人識別情報や追加の顧客データが含まれており、特にMaine州の208名の住民が被害を受けました。

AFFは直ちにフォレンジック調査を開始し、法執行機関に通報しました。2025年7月29日には影響を受けた顧客に電子メールで通知を送り、この通知には流出事故の性質や流出したデータの種類、顧客が取るべき保護措置が詳しく説明されています。また、顧客の保護のためにIDXを通じて、24ヶ月間の身元盗難防止とクレジットモニタリングサービスを無料で提供しています。

FinWise Bankは、事故を認識した直後に外部のサイバーセキュリティ専門家と共に調査を開始しました。この過程で内部統制を強化し、同様の事件の再発防止に努めています。また、被害を受けた顧客には12ヶ月間の無料クレジットモニタリングと身元盗難防止サービスを提供していますが、FinWiseは現在進行中の訴訟に関連して事件に関する追加の詳細は提供していません。

今回の事件に関連して、FinWise Bankは複数の集団訴訟に直面しています。これに伴い、AFFとFinWiseは内部統制の強化や従業員活動のモニタリング強化、データセキュリティ教育の強化などを通じてセキュリティ体制の強化に取り組んでいます。顧客には定期的にクレジットレポートを確認し、提供された保護サービスを活用して身元盗難の兆候を注意深く監視することが推奨されています。