英蘭に続きフランス監督機関もUBERにデータ保護不備により制裁金


英蘭に続きフランス監督機関もUBERにデータ保護不備により制裁金

2018年11月27日付で、イギリスとオランダの監督機関が自動車配車サービス事業者のUBERに対して相次いで制裁金を課したことは、本欄でも紹介したところである。この程、2018年12月20日付のニュースリリースで、フランスの監督機関であるCNILがUBERに40万?の制裁金を申し渡したことを明らかにした。理由は、英蘭と同様に、顧客及び登録ドライバーの個人データのハッキング被害により明るみに出た、それらへの対応やデータ保護措置の不備によるものである。全世界で5千7百万人の個人データが漏洩したが、フランス分では百四十万人のデータが漏洩していた。データ保護措置の不備に関しては、特に、次のように説明されている。

  •  UBERは技術者がGitHubに接続する際に二要素認証のような強力な認証手段を用いさせるべきであった。
  • サーバーへのログイン情報を暗号化されていない状態でGitHub中に保存すべきではなかった。
  • ユーザー情報が入っている”Amazon Web Services S3″サーバーへのアクセスのために、IPアドレスをフィルターする仕掛けを設置すべきであった。

ICOは、38万5千ポンド、オランダ当局は60万ユーロの制裁金を課していたが、今回のCNILの40万ユーロと合わせて、合計で1億8千万円ていどの制裁金が果たされたことになる。なお、本件はいずれもGDPRを適用したものではなく、旧法下での制裁金に該当するものである。

フランスのデータ保護監督機関CNILのニュースリリース
https://www.cnil.fr/fr/uber-sanction-de-400000eu-pour-une-atteinte-la-securite-des-donnees-des-utilisateurs

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト