2007年にTJマックスがクレジットカード番号を含むデータ4,560万人分を漏洩させた事件がありました。
4,560万人のデータが漏洩したTJマックス
ハッカー11人はすでに見つかっていて昨年告訴されてます。

この件出、ＴＪマックスは41州に対して和解金を支払うことで合意しました。

ここで言う和解金はペナルティと言ってもいいと思うのですが、そのうちの250万ドルはデータセキュリティ用の基金設立、550万ドルが和解金、175万ドルが州による捜査にかかった費用、という内訳となっています。

こういう場合、アメリカでは多額のペナルティを支払うことになります。相手は今回のように国の場合もあるし、訴訟の場合は個人または原告団の場合もある。
これが抑止力になるという考え方なのだと思います。

マクドナルドでコーヒーをこぼしてやけどをしたおばあちゃんが訴訟を起こして多額の慰謝料を勝ち取ったという有名な話がありますね。通常はアメリカの訴訟文化を揶揄するときに使われるのですが、本質的にはこれはペナルティなんです。
この結果マクドナルドはコーヒーの温度をさげて、こぼしてもやけどをしないよう気をつけるようになったし、他社にも同様の影響を与えることになった。

しかし、データの漏洩は怖いですよね。
どこかで書いたかもしれませんが、だから私は指紋認証なんてぜったいに受け入れたくないんです。