データ保護委員会、Metaに9,100万ユーロの制裁金
マイナビニュース / 2024年10月6日 13時51分
アイルランドデータ保護委員会(DPC: Data Protection Commission Ireland)は9月27日(現地時間)、「Irish Data Protection Commission fines Meta Ireland €91 million|27/09/2024|Data Protection Commission」において、Meta Platforms Ireland Limited(Metaのアイルランド現地法人)がソーシャルネットワーキングサービス(SNS: Social networking service)のユーザーパスワードをプレーンテキスト(平文のまま)で保存していたとして、制裁金を科す決定を下した。この事案は2019年3月に明らかになったもので、5年後の2024年6月に決定案が提出され今回の発表となった。
欧州連合(EU: European Union)はEU一般データ保護規則(GDPR: General Data Protection Regulation)において、企業が保持するパスワードに対しハッシュ化または暗号化を求めている。この規則に違反すると、多額の制裁金を科される可能性がある。
○最終決定
アイルランドデータ保護委員会は、Meta Platforms Ireland Limitedがユーザーのパスワードをプレーンテキストで保存していたとして、戒告および9,100万ユーロの制裁金を科すことを決定した。次の点についてEU一般データ保護規則に違反したと認定している。
ユーザーパスワードを平文で保存したことに関する個人データ漏洩について通知しなかった
ユーザーパスワードを平文で保存したことに関する個人データ漏洩について文書化できなかった
ユーザーパスワードを不正に処理したことに対する適切な技術的および組織的なセキュリティ確保を講じなかった
パスワードの継続的な機密性確保の能力を含め、リスクに見合ったセキュリティを確保する技術的および組織的な対策を実施しなかった
○調査の概要
この事案は2019年3月、誤ってパスワードをプレーンテキストで保存していたとして、Meta Platforms Ireland Limitedが自ら通知したことで明らかになった(参考:「Keeping Passwords Secure | Meta」)。通知の翌月には調査が開始され、パスワード処理に関連するリスクに適切なセキュリティが確保されていたか、個人データの侵害を記録して通知する義務を遵守していたかが評価された。
データ保護委員会の副委員長は、この件について次のように述べ、大手IT企業が管理するパスワードは特に厳重に管理すべきだと訴えている。
ユーザーのパスワードを平文で保存すべきでないことは広く理解されている。今回調査の対象となったパスワードは、ソーシャルメディアアカウントへのアクセスを可能にするものであり、特に機密性の高いものであることを念頭に置く必要がある。
GDPRは、たとえ単純なミスであってもパスワードを不適切に管理することを認めていない。違反すれば多額の制裁金を科される可能性があり、企業にはユーザーのパスワードを適切な手段で厳重に管理することが求められている。
(後藤大地)
この記事に関連するニュース
ランキング
-
1au PAYとPontaのキャンペーンまとめ【10月4日最新版】 「Pontaパス」開始で毎日最大4%ポイント還元、飲食店でお得な施策が充実
ITmedia Mobile / 2024年10月4日 10時5分
-
2【全貌公開】超大型化して登場!バーガーキング『にんにく・ガーリック ザ・ワンパウンダー』
ITライフハック / 2024年10月4日 14時0分
-
3「全く動けません」清水良太郎がフェスで救急搬送 事故動画で原因が明らかに「独りパイルドライバー」「これは本当に危ない!!」
ねとらぼ / 2024年9月30日 14時40分
-
4月990円で4GB povo、期間限定の48GB/365日プラン
ASCII.jp / 2024年10月4日 15時0分
-
5料金据え置きで月20→30GBに増量! さらにお得になったNTTドコモの「ahamo」について3つのポイントでおさらい【2024年10月版】
Fav-Log by ITmedia / 2024年10月4日 17時55分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください