仏HERTZ、個人データ漏洩でCNILから制裁金


フランスの個人データ保護監督機関CNIL(Commission Nationale de l’Informatique et des Libertés)は7月27日、レンタカーのHertz Franceの個人データ保護義務違反に対して40,000ユーロの制裁金を賦課したと発表した。

2016年10月、Hertz社が運営するサイト上で同社顧客35,357人のID、連絡先、運転免許証番号などの個人データが閲覧できることが発覚した。CNILがHertz社及びweb開発外注業者に対して立入調査を行った結果、サーバーを交換する際のミスが原因であることがわかった。webシステムを構成するコードの1行を誤って削除してしまったため、顧客が記入したフォームがサイトに表示されることになってしまった。

CNILは、このデータ漏洩事故はHertz社がフランスデータ保護法(La Loi Informatique et Libert?s)第34条の規定に基づき個人データを保護するために講じるべき必要な措置を怠ったことが原因であると判断した。一方、問題解決のためのHertz社の対応が迅速だったこと、自主的に安全監査を実施したこと、監督機関に対して協力的だったことを考慮して、制裁金の額が軽減された。

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000035276047&fastReqId=623604798&fastPos=1

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト