ロンドンの駐車違反切符システムの個人データ流出に制裁金


イギリスのデータ保護監督機関ICOは8月7日、ロンドンのイズリントン区議会が運営する駐車違反切符システムからの個人データ流出に対して70,000英ポンドの制裁金を課したと発表した。

ロンドン中心部のイズリントン区が運営する駐車違反切符システムは、車両登録番号と駐車違反切符番号を入力すると監視カメラ画像が閲覧できる。違反者が異議を述べる際には氏名、住所のほか、健康状態、身体障害、経済状態など酌量すべき事情などの個人データを提出し、これらはシステム運営スタッフがスキャンして違反案件ごとの添付ファイル・フォルダーに置かれるしくみになっている。2015年10月、ユーザーからの情報提供で、この添付ファイルフォルダーは違反事案の当事者以外からもURLを書き換えることによってアクセスできることが判明し、外部機関による調査の結果、71人の個人データが流出したことがわかった。

ICOは、イズリントン区議会は、システムに保存された個人データが不正・違法なアクセスから保護されることを保証するために必要な適切な技術的措置を講じなかったと判断した。具体的には、webサーバのフォルダブラウジング機能の設定に誤りがあり、また、システムの設計に欠陥があったと判断した。

ICOは制裁金の軽減要件として、イズリントン区議会が事故をすぐにICOに報告したこと、事故判明後システムを直ちに停止したこと、ICOの調査に協力的だったこと、影響を受けた個人に対して通知を行ったことなどを挙げた。

https://ico.org.uk/media/action-weve-taken/mpns/2014671/mpn-london-islington-20170807.pdf

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト