イタリアの政党向けwebサイト運営者がセキュリティ対策不備で制裁金 −イタリアで最初の制裁金事例—


イタリアの政党向けWebサイト運営者がセキュリティ対策不備で制裁金 −イタリアで最初の制裁金事例—

イタリアのデータ保護監督機関(The Garante)は、Web運営事業者のRousseauに対して、EU一般データ保護規則(GDPR)32条の適切な技術的・組織的対策に不備があったとして5万ユーロの制裁金を課した。これは、イタリアで最初に課されたGDPR制裁金である。

イタリアの政党であるMovimento 5 Stelle の多くのwebサイトは、Rousseauプラットフォーム上で運営されていたが、2017年夏に大規模なデータ漏洩が発生した。その結果見出されたセキュリティ対策の不備は以下のようなものである。

1 各種のログ管理・対策の不備
アプリケーション・ログ、データベース・ログ、等の管理策が不十分であった。

2 システム管理者権限の共有
管理者権限のある認証情報がシステム管理者間で共有されていた。

3 投票に関係するデータの消去
投票結果の確認が済んだ直後に、投票に関係するデータコラムの値が”NULL”とされ、消去されている。しかし、調査の結果、別のデータベースの存在が確認され、それには、投票に関係するデータと携帯番号、ユーザIDが同時に含まれていた。

関連するニュース
https://dataprivacy.foxrothschild.com/2019/04/articles/european-union/gdpr/italys-dpa-fines-data-processor-for-information-security-failures/
当局の通知書
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9101974

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト