ドイツ連邦監督機関、権利行使対応時の本人確認の不備に対して制裁


ドイツ連邦監督機関、権利行使対応時の本人確認の不備に対して制裁

12月9日、ドイツ連邦監督機関は、データ主体である顧客が個人データに対するアクセス権行使を請求した際の本人確認手続きが不備なために他人に個人データを開示してしまった事案について955万ユーロの制裁金を課した。

ドイツのインターネットサービスプロバイダ(ISP)である1&1 Telecom GmbHは、カスタマーサービスに電話をかけてきた個人が氏名と生年月日を伝えるだけで、当該氏名に該当する個人のデータを入手できる状態であった。そのため、第三者のなりすましによって、無関係の顧客の個人データが流出する状態だった。監督機関の指導以降、同社は本人確認手続を改善するとともに、監督機関の調査にも協力的な姿勢を見せたが、EU一般データ保護規則(GDPR)第32条(個人データの技術的・組織的安全確保措置)違反を認定し、955万ユーロの制裁金処分が決定された。同社は処分を不服として争う方針である。

データ主体による権利行使では、データ主体の本人確認を厳格に実施することにより、不十分な本人認証に起因するデータ侵害を防止することが重要である。GDPR第12条は、データ主体の権利行使において、その身元に関して管理者が合理的な疑いを保つ場合は、身元確認のために追加的な情報提供を求めることができるとしている。また、カスタマーサービスが、通常業務で必要とされる以上の顧客個人データにアクセスできていた可能性がある。本決定では適切な本人認証の手段や強度に関する監督機関の見解等は示されなかったが、認証に起因する個人データ侵害を防止するためには、個人データのNeed-to-knowの原則に基づき、カスタマーサービスと個人データ保護の業務の分界を明確にすること、個人データへのアクセス権行使は個人データ保護担当部署を主担当とすること、ログインに顧客本人が設定するパスワードや二段階認証などの適切な認証手段を備えたデータ確認ページを設置すること等の対応が必要となるだろう。

ドイツ連邦監督機関によるニュースリリース
BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister
https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html;jsessionid=B080A3FCE3D62DE793B645BC3D24181C.1_cid354

関連記事