英自治体の個人データ漏洩に制裁金


英国個人データ保護監督機関ICOは、ノッティンガムシャー市役所 (Nottinghamshire County Council) が個人データを無防備なままネット上で閲覧可能にしていたことに対して7万ポンドの制裁金を課したと発表した。

同市役所は2011年からホームケア・アロケーション・システム(HCAS) と称するポータルサイトを運営し、ソーシャルケア提供事業者向けにケアを必要とする高齢者及び障害者3,000人の個人データ(性別、住所、必要なケア)を閲覧させていたが、このポータルサイトはユーザー名とパスワードによる認証など基本的なアクセス制限を欠いていた。2016年6月、市民からの通報でサーチエンジンによりこのディレクトリにアクセスできることが判明した。個人データのうち氏名は含まれていなかったが、得られる情報だけで個人を特定することは可能だとICOは判断した。

同市役所が個人データを保護するために必要なセキュリティ措置を講じることを長期間にわたり怠ったことは重大な義務違反であり、データ侵害の被害を受けた個人はケアを必要とする立場の弱い人々であることを考慮し、ICOは、7万ポンドの制裁金を賦課することを決定した。

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2017/08/council-fined-for-leaving-vulnerable-people-s-personal-information-exposed-online-for-five-years/

関連記事