シンガポールの食品飲料アウトレットが顧客情報漏洩により2万シンガポールドルの制裁金


シンガポールの食品飲料アウトレットが顧客情報漏洩により2万シンガポールドルの制裁金

シンガポールのデータ保護委員会(PDPC)が2019年7月4日に発表した執行情報によれば、食品飲料アウトレットチェーンを運営するSpize Concepts Pte Ltd (Spize) の顧客データ漏洩事件に関する調査を実施した結果、相応なセキュリティ対策の不備、開示義務違反、等の理由により、2万シンガポールドルの制裁金を課した。

市民からの通報によれば、「コールセンター」と呼ばれるサイト上で、氏名、連絡先電話番号、電子メールアドレス、住所等からなる148人の顧客の個人データが見える状態になっていたとのことである。これらは、業務関係者が使うもので、外部に公開されるものではなかったが、あるユーザーが社長の管理アカウントでログインし公開したものであった。また、このSpizeのオンライン注文システムは、アメリカのNovadineが開発してもので、Novadineはこのシステムのホスティングも行っている。

調査の結果、次の理由により、2万シンガポールドルの制裁金が決定された。
a.Spizeは法に要求される相応なセキュリティ対策を行っていない。
b.Spizeは、データ保護方針、組織内ガイドライン、必要な契約条項を所持しておらず、また、事件当時はデータ保護担当者(DPO)も設置しておらず、法の要求する開示義務に違反している。
c.Spizeは、Novadineがどのように個人データ処理を行うかの指示の文書を示すことができなかった。
d.アメリカ拠点のNovadineにて個人データ保管および処理が行われており、越境移転制限の法的義務に違反している。

一方、Spizeがデータ保護フレームワークを導入したこと、外部コンサルタントを導入して、必要な処理過程のポリシーのドラフト作成や従業員教育を実施していること、新しいITベンダーと契約していること等を鑑みて、執行内容を軽減した旨、執行報告書には記載されている。

シンガポールのデータ保護委員会の執行情報
https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Commissions-Decisions/Grounds-of-Decision—Spize-Concepts-Pte-Ltd—040719.pdf

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト