デンマークデータ保護当局 企業買収の際の32条(技術的対策)不備を批判


デンマークデータ保護当局 企業買収の際の32条(技術的対策)不備を批判

デンマークのデータ保護監督機関(Datatilsynet)は、2020年2月13日に、デンマーク最大のIT企業であるKMD A/S(以下「KMD」)が、ITソリューション会社であるAvaleo社の買収に際して、適切な技術的およびセキュリティ対策を講じなかったことを批判する決定(以下「本決定」)行ったと発表した。

KMDは、Avaleo社を買収する契約を2015年に締結し、2017年に合併した。KMDは、買収の際、Avaleo社から引き継いだ当該開発サーバーを、実際には社会保障番号等の個人情報を含んでいたのにも拘わらず、個人情報を含んでない内部開発サーバーとして分類し、インターネットに接続できる環境下で運用していた。そのため、買収後に不正アクセスされ不法なBitcoinのマイニングプログラムが実行される等していたとのことである。

本決定では、当該開発サーバーに一般的な技術のセキュリティが導入されていたのならば、本件不正アクセスを回避できた可能性があり、当該開発サーバーはセキュリティ対策が不十分であるとして、GDPR32条に反すると判断されている。

KMDは、古いデータの削除、アクセスの制限、問題となったソフトウェアの無効化、ログイン資格情報(ユーザー名とパスワード)の更新などの対策を講じ、本件不正アクセスの対応は終了しているとのことである。

過去には、2016年にも、英国の企業がイタリアのケーブルTVを買収したときに調査から漏れたウェブサイトがあり、そこで利用されているデータベース・サーバー・ソフトウェアのセキュリティアップデートを怠ったため、セキュリティホールが3年半にわたり放置され、買収対象企業の顧客個人データが15万人以上の漏洩した事件があり、ICOは制裁金?40万を課した。また、マリオットインターナショナルが買収したスターウッドホテルズが運用するシステムの脆弱性に起因し、2018年11月に全体で約3億3,900万人分の顧客データが漏洩し、ICOは制裁金£9900万をマリオットインターナショナルに対して課す意向を示しているのは記憶に新しい。

本件事案は、企業買収に際して買収対象企業のIT資産について十分な調査・対策が求められることを改めて考えさせられる事案である。

【Datatilsynetの公表ページ】
https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/feb/manglende-sikkerhed-omkring-en-udviklingsserver/
【KMD Nexusについての参考資料】
https://www.itchefer.dk/kit-magasinet/artikel/kmd-har-over-70-kommuner-som-eoj-kunder

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト