KOBITブログ

GDPR施行後に報告された8000件のデータ保護違反はどのように発生したか

この記事は約 5分 で読めます。


英国個人情報保護委員会には毎週500件もの報告が相次ぐ

GDPR(欧州一般データ保護規則)は個人情報の取り扱いに厳しい規則及び罰則を設けています。重要なプロセスの一つに、データ流出や不正利用が発生した場合、72時間以内に各国当局へ報告する義務があります。十分な対策をとらず、甚大な影響があった場合、全世界の年間売上高4%か2000万ユーロの内、高い方が罰金として科されます。

データの不正利用は2018年5月のGDPR施行以来、多数の報告がありました。英国の調査では、約半年だけで8000件もの報告があったとされます。72時間以内の報告という要件により、企業は事前に個人情報保護のプロセスを規定せざるを得ず、期限通りに報告できるかどうかがGDPR遵守できているかどうかを試す役割を果たしています。

イギリスの個人情報保護委員会(ICO)には、データ不正利用に関する報告が毎週500件ほど届いていると報じられました。そのうち、約3分の1は報告義務の無い事案だと判断されています。一方、フィッシング詐欺やサイバー攻撃によるデータ流出、設定ミス、マルウェア・ランサムウェアによる被害などが、報告事案に含まれています。

マリオットの予約システムは4年間、不正アクセスできる状態にあった

GDPRデータ保護違反の中でも、大々的に報じられたのが、ホテルチェーン・マリオットの事案です。2016年に買収したスターウッドグループの予約データベースが不正アクセスされ、約5億人の個人情報が流出しました。氏名、電話番号、パスポート番号、クレジットカード番号と有効期限等が含まれているため、悪意のある人が被害者名義で銀行口座を開設したり、オンライン詐欺に利用されたりするリスクが指摘されています。

不正アクセスは2014年から行われており、問題を突き止めたのが2018年12月だったという報告が事態をより深刻にさせています。技術的な対策が遅れていたため、不正アクセスの検知が全く機能していませんでした。4年もの時間があれば、悪意のある攻撃者は、どんな情報でも抜き去ってしまいます。不正アクセスの対象には欧州市民が含まれているため、GDPRの違反事例として議論されています。

もう一つの大きな事例として、英航空大手のブリティッシュエアウェイズが挙げられます。同社サイトやアプリから航空券を予約したユーザーの氏名・住所・クレジットカードの情報が流出したとされ、その被害は約38万件に及びました。2018年9月5日に事態を把握した同社は、6日に警察や個人情報保護当局への報告を行っています。72時間以内に報告するというGDPRの要件に従ったものです。透明性を持った報告を行った点は評価されているものの、その被害件数が大きい点を鑑みて、何らかの制裁金が科されると考えられています。

GDPRの72時間以内報告に関する曖昧な解釈により、その実効性に疑問が投げかけられる

GDPRの施行によりプライバシー利用に関する透明性が高まった一方で、その実効性には批判もあります。Facebookは不具合により、680万ユーザーがプライベートに投稿した画像が、ユーザーからの同意を得ていないアプリからアクセス可能な状態にあったと報告しています。Facebookはその不具合を発生させてから修正まで2週間ほどで行ったものの、その不正アクセスに関する報告は、不具合の検知から約3か月も後になりました。

72時間以内に報告するというGDPRの要件を考えると、FacebookはGDPRに従っていないことになってしまいます。同社の見解では、不具合によって影響を受けたユーザーの範囲を特定するのに時間がかかり、当局へ報告する義務があるかどうか判断するのに時間を要したと言われています。

個人情報保護当局への報告義務が、影響範囲の確定から72時間と解釈すると、Facebookの事例が示す通り、不正アクセスの事態をユーザーに通知するのが遅くなります。このような曖昧な解釈が成立してしまう現状では、企業のデータ利用に関する透明性を欠いてしまうため、GDPRの実効性に疑問がつくと批判されているのです。

まとめ

GDPRの施行後、半年で8000件を超えるデータ不正利用が報告されています。フィッシング詐欺やサイバー攻撃といった原因で、データ流出の被害が発生してきました。マリオットやブリティッシュエアウェイズのように、多数の被害が発生した場合、巨額の罰金が科される可能性があります。GDPRの実効性には批判がある一方、企業は何らかの情報セキュリティ対策を講じなければなりません。


CATEGORY:
まずは無料ユーザー登録。
すぐに始められます。