CNILが保険事業者に基本的なセキュリティ対策不備で制裁金


フランスのデータ保護監督機関(CNIL)が保険事業者に基本的なセキュリティ対策不備で制裁金

フランスのデータ保護監督機関であるCNILは、保険事業者のActive Assurances に対して、顧客の個人データに関する基本的なセキュリティ対策の不備により、18万ユーロの制裁金を課した。これは、同社の年間売り上げの2%にあたり、セキュリティ不備の事例に対する制裁金実績としては極めて重いものである。

CNILは、顧客から他の顧客の情報を見ることができるという指摘を受け、2018年6月に同社に警告を発していた。調査によれば、ブラウザに表示されたURLの末尾の番号を変更することにより、免許証のコピー、登録カード、銀行の認証情報を含む個人データが参照できた。同社は、CNILに対策の実施を報告したものの、CNILが確認したところでは、これも不完全であり、引き続き参照することができたとのことである。

さらに、調査の結果、顧客に電子メールで送付されるパスワードは顧客の誕生日であり、かつ、ユーザIDとパスワードは電子メールの文面から読み取れるという杜撰なものであった。

CNILは、このところ、基本的なセキュリティ対策の不備に対する制裁金を連発しており、これを重点化していることが読み取れる。

CNILのニュースリリース
https://www.cnil.fr/fr/active-assurances-sanction-de-180-000-euros-pour-atteinte-la-securite-des-donnees-des-clients
CNILの決定文書
https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000038810992

関連記事