安全対策の不備により保険サービス会社にICOが17万5千ポンドの制裁金


安全対策の不備により保険サービス会社にICOが17万5千ポンドの制裁金

英国データ保護監督機関ICOは、2018年9月28日付で保険サービス会社であるBupa Insurance Services Ltd. に対して17万5千ポンドの制裁金を発令した。理由は、顧客個人情報を保護するための効果的な保護策を施すことを怠ったということである。

2017年1月6日から3月11日の間、一人のBupa社の従業員が54万7千人に上るBupa社の世界中の顧客の個人情報を引き出し、それをダークウェブに売り飛ばしたのである。

その従業員はSWANと呼ばれるCRMシステムを通して情報を入手し、自分の個人のemailアカウントに送信していたが、そのシステムには150万人の顧客に関連した個人情報(氏名、生年月日、emailアドレス、国籍、等)が保存されていた。

ICOの捜査責任者の Steve Eckersley は以下のように述べている。
1 Bupa社は人々の個人データが危険に晒されていることを認識せず、かつ、それを保護するための合理的な対策を怠った。
2 捜査において、Bupa社の個人データの安全保護策に、重要な不備が発見された。不備は体系的なもので長期間見過ごされていた。なによりも、ICOの捜査において、それらに対する満足のいく説明が見いだせなかった。

Bupa社は、2017年6月16日に、顧客データが売られていることを突き止めた外部パートナーより、漏洩の警告を受けていたが、ICOの捜査によれば、当時、SWANのアクティビティ・ログの定期的モニタリングは行われておらず、データの大量引き出しのような特異な活動を検知出来なかったのである。Bupa社の技術的・組織的対策における体系的な不備が150万件の記録を長期間にわたり危険に晒していたことが、かくして明らかになったのである。

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/09/bupa-fined-175-000-for-systemic-data-protection-failures/

関連記事