CNIL、行政手続代行サービスの個人データ漏洩に制裁金


フランスのデータ保護監督機関CNILは22日、オンライン行政手続代行サービス事業者が外部からユーザ情報に自由にアクセスできる状態を招いたデータ侵害事故について、制裁金を賦課したと発表した。WEB EDITIONSという名称のこの事業者は、パスポート申請、不服申立、出生届などの行政手続の代行をweb上で依頼できるサービスを提供していたが、申込手続終了時に表示されるサマリーページのURLの一部を変更すると、だれでも他の利用者の申込サマリーページにアクセスできることが外部からの通報によって発覚し、CNILが調査を開始した。このようなサマリーページには、電子メールアドレス、電話番号、住所、氏名、不服申立の内容などの個人データが掲載されていた。事業者への立入調査の結果、web設計の基本的な安全対策が講じられていなかったことが原因であることが判明した。CNILはWEB EDITIONSが機微な情報を含む顧客データのセキュリティを確保する義務、顧客の個人データの秘匿性を守る義務を果たさなかったとして、25,000ユーロの制裁金賦課を決定した。影響を受けた個人は数千人にのぼる。CNILは事業者の事故対応が迅速だったこと、CNILに協力的だったこと、比較的小規模な事業者であったことなどを考慮して制裁金の額を決定した。

https://www.cnil.fr/fr/web-editions-sanction-pecuniaire-pour-une-atteinte-la-securite-et-la-confidentialite-des-donnees(リンク切れ)

関連記事