KOBITブログ

Uberの個人情報流出および隠蔽工作に課された罰金から学ぶべきこと

この記事は約 5分 で読めます。


Uberは個人情報を流出させ、隠蔽した責任を問われ多額の罰金が科された

配車アプリを世界的に展開するUberは、2018年11月にイギリスとオランダの当局から個人情報流出の責任を問われ、117万ドルの罰金を科されました。興味深い事に流出が起きたのは2016年の話であり、GDPR(欧州一般データ保護規則)が2018年5月に施行される前の事案です。Uberは悪意のあるハッカーからサイバー攻撃を受け、氏名・メールアドレス・電話番号・乗車記録・支払った料金といった個人情報が流出しました。イギリスのユーザー270万件、オランダのユーザー17万4000件が影響を受けたため、それぞれの政府当局が処分を決定しました。

処分が大きくなったのはUberが個人情報流出の事実を隠蔽しようとしたからです。流出が発覚してから1年近く、その事実を公表しませんでした。さらに、ハッカーと交渉して、バグ発見報奨金プログラムの一環として10万ドルを支払う代わりに、流出したデータの削除と、流出した事実の隠蔽を求めていたのです。

イギリスとオランダの規制当局は隠蔽工作を厳しく非難しています。セキュリティの重大な欠陥にとどまらず、個人情報を盗まれたユーザーとドライバーを軽視していると指摘されました。個人情報が流出した場合、影響を受けた個人へ通知し、被害を軽減するための方策を講じる義務があるのです。

Uberは同じ時期に米国でも同様の個人情報を流出させ、隠蔽を試み、結果的に1億4800万ドルの罰金が科されています。被害を受けたのは5700万人のユーザーとドライバーです。氏名・メールアドレス・携帯電話番号・ドライバーの免許証番号といった個人情報が流出しました。

GDPR施行後はデータ不正利用発覚から72時間以内の報告が義務付けられている

Uberの法務担当責任者は、データ保護へ継続的に投資し、規制当局と建設的な関係構築を目指すと述べています。しかし、既に起こしてしまった流出とそのまずい対応への罰金は大きく、経営を揺るがす程、多額なものになってしまいました。

2016年の事案は、GDPR施行前なので、その影響は受けませんが、もし、施行後であれば、その罰金はさらに増えていた可能性があります。被害件数が多く、データ保護対策が十分にとられていあい悪質な案件の場合、2000万ユーロか、全世界における売上高の4%のうち高い方が罰金となるからです。

GDPRでは個人情報が不正に利用されたのが確認された時点で、72時間以内に規制当局へ報告することを求めています。これは、不正に取得された個人情報が悪用され、詐欺などに使われるリスクがあるからです。流出の事実を隠蔽しようとしたUberが批判されているのは、このような被害を発生させるリスクが背景にあります。

イギリスの規制当局ICO(Information Commissioner’s Office)の調査では「クレデンシャル・スタッフィング」と呼ばれる手法が使われたとされます。これは、既に流出されたユーザーIDとパスワードの組み合わせを総当たり的に試し、ログインに成功したものからユーザー情報を抜き取ります。パスワードの使い回しをしているユーザーは被害に遭いやすく、企業は二段階認証等のセキュリティ対策を講じる必要があります。

日本企業でもセキュリティ対策と隠蔽を防ぐガバナンスが求められる

米国企業であるUberが欧州で罰金を科された事案を見ると、国際的に事業を展開する日本企業も他人事ではありません。欧州市民にサービスを展開する企業はもちろん、ヨーロッパの従業員を雇用する場合も、GDPRの規制対象となります。また、GDPR施行前の事案であっても、セキュリティ対策を十分に講じていなければ、相応の罰金が科されてしまうのです。

さらに、罰金を恐れるあまりデータ流出の事実を隠蔽しようとすると、結果的に責任が重くなってしまう可能性があります。現在は内部告発やソーシャルメディアからの報告を含め、様々なチャネルで情報が明るみに出てしまいます。隠蔽は規制当局の心証を悪くし、罰金の額が増える結果に終わります。また、隠蔽を試みたという事実は、企業文化へ疑いの目が向けられ、ブランド価値が毀損する場合さえあります。

まとめ

Uberは悪意のある攻撃者によって個人情報が流出してしまい、さらに、それを隠蔽した責任を問われ、多額の罰金が科されました。欧州市民を対象に事業を展開する日本企業もGDPRに準拠する必要があり、適切なセキュリティ対策や万一の場合の対応方針を策定しておかなければなりません。


CATEGORY:
まずは無料ユーザー登録。
すぐに始められます。