9100万ユーロの罰金というのは、とても大きな金額です。
ドルで言うと約1億150万ドル、日本円で言うと約145億円です。
この罰金は、先日Meta(Meta Platforms Ireland Limited、以降MPIL)に対して科されたものです。
なにがあったのでしょうか。
- GDPR第33条(1)に抵触
MPILはユーザーのパスワードを平文で保存することに関する個人データ漏洩についてDPCに通知しなかった。 - GDPR第33条(5)に抵触
MPILはユーザーのパスワードを平文で保存することに関する個人データ漏洩を文書化しなかった。 - GDPR第5条(1)(f)に抵触
MPILは、ユーザーのパスワードの不正な処理に対する適切なセキュリティを確保するための適切な技術的または組織的措置を講じなかった。 - GDPR第32条(1)に抵触
MPILは、ユーザーパスワードの継続的な機密性を確保する能力を含め、リスクに適したセキュリティレベルを確保するための適切な技術的および組織的対策を実施しなかった。
この話は2019年のFacebookのパスワードを内部システムに「平文」(つまり、暗号保護や暗号化なし)で誤って保存していたことが発覚したことに始まるものとなっています。
この時は、これらのデータは漏洩には至らなかったと考えられます。
しかし、その後も運用は改善されていなかったのかもしれません。
2021年4月、サイバー犯罪者がハッキングフォーラムに5億件以上のFacebookプロフィールを無料でスクレイピングして投稿しました。
2022年2月、約3億件の個人情報がTelegram チャンネルで共有されました。
2023年2月、約20万件のFacebook Marketplaceユーザーの個人データがオンラインで公開されました。
運用は十分な改善がなされていなかったのでしょうか。
データを保有する際にはどのように保護して保持するべきか、そもそもデータを保持することを選択するのか、今一度考える必要があるかもしれません。
サイバー犯罪の脅威は時間の経過とともに増しています。
何事にも気持ちを引き締めて日々取り組んでいくようにしようと思いました。
Irish Data Protection Commission fines Meta Ireland €91 million
https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta
| この記事をシェア |
|
|---|
