LfDIがドイツで初のGDPR違反制裁金を決定


ドイツ南西部、バーデン=ヴュルテンベルク州(州都:シュトゥットガルト)のデータ保護監督機関、Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI)は、22日、GDPR違反事案に対する初の制裁金を課したと発表した。

同州に根拠を置くソーシャルメディア事業者が、ユーザーのパスワードをハッシュしないまま平文で保存していたところ、これをハッカーの攻撃により盗取され、ユーザーのemailアドレスとともに公開されたという。影響を受けたユーザーは33万人。事業者は9月8日、LfDIにセキュリティ侵害を報告。同侵害は、GDPR32条(リスクに応じたセキュリティ対策の義務)に違反するとされたが、その後の調査に対する協力姿勢、セキュリティの改善などが評価され、制裁金の額は、2万ユーロに決定された。今回の制裁金決定は、ドイツにおけるGDPR違反による初の制裁金事例となる。5月25日GDPR施行以来、同法に基づく制裁金事例は、オーストリア、ポルトガルの各1件に続き、3件目。
https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

今回の制裁金事案で注目すべき点が2点ある。
第1に、LfDIは、処理に伴い想定されるリスクとセキュリティ対策のバランスについて判断したということである。GDPR32条は、最新技術、措置実施の費用、処理の性質・範囲・目的、処理に伴い個人に対してリスクが発生する可能性とその重大性を考慮し、管理者および処理者は、そのようなリスクに相応の技術的および組織的な対策を講じなければならないとし、そのような措置の例として、暗号化、仮名化、継続的に機密性・完全性・障害耐性を確保するための措置などを定めている。今回の制裁金事例では、平文のパスワードが盗取された場合にユーザーに及ぶリスクを考慮した場合、これに相応なセキュリティ対策として、システム側では平文のパスワードではなく、照合に必要なそのハッシュ値のみを保存すべきであったにもかかわらず、平文パスワードを保存していた事実について、リスクにふさわしいセキュリティ対策を欠くものとLfDIが判断したことである。ここで注意すべきことは、32条に具合的に挙げられたセキュリティ対策は、条文に明示されている通り、例示であり、管理者および処理者が実際に講じるべきセキュリティ対策のレベルは、処理のリスクに応じて個別具体的に決めるべきということである。

第2に、事業者の迅速なデータ侵害報告、LfDIに対する協力姿勢および事故後のセキュリティ改善への取組みが評価され、制裁金の額が軽減されたことである。GDPR83条は、制裁金の額の決定にあたって、監督機関はこれらの事情を考慮すべきであるとしている。

(参考:GDPR第32条抜粋)
1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
 1. the pseudonymisation and encryption of personal data;
 2. the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
 3. the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;
 4. a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing.
2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed.

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト