ウェブサイトのセキュリティ上の脆弱性放置に対し、ハンガリーで最高額の制裁金処分


ハンガリーの監督機関ハンガリーデータ保護局(NAIH)は、データベースの脆弱性を放置していた情報通信プロバイダーに対し、ハンガリーで最高額となる29万ユーロの制裁金処分を課した。

データ侵害の概要

ハンガリーでケーブルTV、衛星TV、モバイル、インターネット接続などの事業を展開するDigi社は、オープンソースのCMP(コンテンツ管理プラットフォーム)と2つのテストデータベースを運用していた。一つのデータベースに顧客の識別データ、電子メール アドレス、電話番号、および銀行口座番号が含まれ、もう一つにはDigiの電子メールニュースレターの購読者の名前とメールアドレスが含まれていた。それらのデータは暗号化されていなかった。
2019年9月、ホワイトハッカー(ethical hacker)が同社のテストデータベースに侵入し、データベースのデータを1行だけダウンロードし、レポートでデータベースの脆弱性を証明した。脆弱性は同社ウェブサイトのオープンソースCMS(コンテンツ管理システム)上に存在し、その対策となるセキュリティパッチが配布されていたが、同社はそれらが公式のものではないとし、パッチを適用しなかった理由と主張していた。

監督当局の判断と処分

NAIHは、この脆弱性により多数のデータ主体への不正アクセスが可能になった可能性があるとともに、不正アクセス可能なデータ数がハンガリーの総人口に関連しても重要であることを示唆している。また、同社はデータ侵害発生の認知から72時間以内に侵害発生を当局に報告し、パッチの適用とデータベースの削除を実施したが、NAIHはそれを制裁内容の緩和要因としなかった模様である。結果として、NAIHはDigi社に対し、29万ユーロの制裁金処分を決定した。

本件の教訓

本件のポイントとして、法律事務所Bird&Birdは以下の点に言及している。

  • GDPR の準拠は、単に文書化を実行することではない。内部のデータコンプライアンスに関する詳細なドキュメントを準備していても、それが実効的に実装できていなければ、個人データ侵害から管理者を保護することはできない。
  • 実際にデータの盗難や漏洩が発生していなくても、脆弱性が存在しているだけで高額の罰金が課せられる可能性がある。同事案での脆弱性の発見は、同社の主導によるバクバウンティプログラム(脆弱性報奨制度:外部主体による脆弱性の発見に対し報奨金などを支払い、プログラムやシステムのバグや脆弱性を発見すること)ではなく、ホワイトハッカー自身の活動によるものであったため、制裁の緩和要因にはならなかった。
  • 訪問率の高い顧客向けウェブサイトの運営者は、GDPRに準拠したレベルのセキュリティを確保するために、厳格な技術的および組織的措置を実施する必要がある。NAIHは、顧客がウェブサイトを頻繁に使用されている事実、最先端の情報、脆弱性を回避するための十分なシステムを実装するためのコストを考慮した結果、同社が脆弱性を特定しなかったことが、管理者の技術的・組織的安全確保義務の違反に該当すると認定した。
  • 本件では、データ漏洩を適切に処理し監督当局に報告することは、制裁の緩和要因にはならなかった。そのため管理者は積極的に侵害を報告しなくてもいいと考えるかもしれないが、データ侵害を規定された期限内に報告しなかった場合は、制裁の加重要素となるおそれがあることに注意しなければならない。

本件の教訓として、情報システムの脆弱性や、その存在が明らかになったことだけでもGDPR上の制裁を受ける可能性があることに、特に注意すべきであろう。

Record breaking GDPR fine imposed in Hungary as a result of a website security vulnerability
https://www.twobirds.com/en/news/articles/2020/hungary/record-breaking-gdpr-fine-imposed-in-hungary-as-a-result-of-a-website-security-vulnerability

関連情報

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

IIJ ビジネスリスクマネジメントポータル(BizRis)

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

GDPR執行事例リスト(アドバンスト会員様は無料) 

世界19ヵ国・地域のクッキー規制を網羅したグローバル・オーバービュー(概要版)

IIJでは日本企業からのニーズが高かった①19ヵ国・地域、②17調査項目を対象に、西村あさひ法律事務所様の協力も得て、2019年4月の初版に続き、「世界のプライバシー保護法制の最新動向に関するレポート(グローバル・オーバービュー)をアップデートしました。

サンプルの閲覧はこちら
購入のお申込みはこちら

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト