英国とオランダの監督機関がUBERにデータ保護不備により同時に制裁金


イギリスとオランダの監督機関がUBERにデータ保護不備により同時に制裁金

2018年11月27日付で、イギリスとオランダの監督機関が、自動車配車サービス事業者のUBERに対して相次いで制裁金を課した。理由は、顧客及び登録ドライバーの個人データのハッキング被害により明るみに出た、それらへの対応やデータ保護措置の不備によるものである。

2016年10月、11月に発生した一連の漏洩や対策不備などにより、全世界にて5千7百万人の個人データが漏洩したが、イギリスでは270万人の顧客と8万2千人のドライバーの個人データが被害にあい、オランダでは17万4千人の市民の個人データが漏洩したと報じられているーーーイギリスのドライバーのデータには、行程の詳細、支払い金額をも含んでいた。

ICOの調査では、漏洩したID、パスワードを自動処理で入力し実在アカウントに一致させ侵入する「credential stuffing攻撃」が実行されたとのことだが、UBERは攻撃者に、ダウンロードデータを削除のため10万ドルを支払ったのに、顧客やドライバーに1年以上も知らせなかった。

ICOの捜査担当ディレクターは「これは、単にデータ保護上の重大な過誤であるだけでなく、個人データを盗まれた顧客やドライバーの無視したことになる。何の通知や支援の提供も行われず、危険にさらし続けたのだ。また、攻撃者に支払い、その後黙っていることは、我々の考えでは、適切な対応ではない」と語った。

ICOは、38万5千ポンド、オランダ当局は60万ユーロの制裁金を課した。なお、本件は、GDPR施行前に発生したものであるため、GDPRによる制裁金ではなく各国の旧法に基づくものである。

英国監督機関(ICO)のニュースリリース
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/11/ico-fines-uber-385-000-over-data-protection-failings/
オランダ監督機関のニュースリリース
https://www.autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-fine-data-breach-uber

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト