フランスのデータ保護当局であるCNILは、ソフトウェア企業NEXPUBLICA FRANCEに対し、170万ユーロという高額の制裁金を科しました。この金銭的制裁は2025年12月22日に発表され、同社のPCRMソフトウェア(社会福祉分野で広く利用されているツール)に関連する大規模なデータ侵害に関する調査を受けてのものです。
データ侵害の詳細
NEXPUBLICA FRANCEに対する調査は、2022年11月にさかのぼります。同社が運営するオンラインポータルの利用者が、他人に属する文書を閲覧できてしまうことが判明し、深刻なデータセキュリティ上の不備が露呈しました。これらの文書には機微な個人情報が含まれており、データ保護およびユーザーアクセス制御に関して重大な懸念が示されました。
ポータルを通じて第三者の個人データにアクセス可能であることが判明すると、顧客は速やかにCNILへ通報しました。関係する情報の性質を踏まえると、この事案は個人のプライバシー権に対して相当のリスクをもたらすものであり、データ保護当局による正式な調査につながりました。
PCRMソフトウェアとその機微な利用
NEXPUBLICA FRANCE(旧称INETUM SOFTWARE FRANCE)は、ITソリューションおよびソフトウェアの開発に注力しています。同社の主力製品の一つであるPCRMは、社会福祉サービス向けに特化して設計された関係管理ツールとして機能します。このソフトウェアは、フランス各地の複数の県において、障害者支援の県立窓口(MDPH)で特に利用されています。
PCRMが、障害に関する人生に重大な影響を及ぼし得る情報を含む、極めて機微な個人データを取り扱うことから、CNILは厳格なセキュリティ対策の必要性を強調しました。GDPRの制裁金の規模は、漏えいしたデータの機微性だけでなく、影響を受けた人々が被り得る潜在的な被害も反映しています。
セキュリティ不備に関する調査結果
CNILの調査結果によれば、PCRMを保護するために講じられていた技術的・組織的措置は著しく不十分でした。指摘された問題には、Nexpublicaの情報システム全体に広がる弱点や、長期間放置されてきた未対処の脆弱性が含まれていました。
CNILは、これらのセキュリティ問題の多くが、基本的なサイバーセキュリティ原則および現代的なベストプラクティスに関する認識不足に起因すると指摘しました。侵害が発生する前から、内部および外部の監査報告書において警告が示されていました。しかしNexpublicaは、データ侵害事案が報告された後になるまでこれらの警告に対応せず、そのことが科された制裁金に大きく影響しました。
CNILは、NexpublicaがGDPR第32条に違反していると判断しました。同条は、想定されるリスクの水準に見合ったセキュリティ対策を組織が実装することを義務付けています。これには、現行技術、実装コスト、ならびに個人の権利および自由に対する脅威の評価が含まれます。
制裁を担当するCNILの制裁委員会は、Nexpublicaがこれらの義務を果たしていないと結論付けました。この状況は、同社がITシステムおよびソフトウェアの専門企業であり、理論上はセキュリティ上の責任を理解するために必要な知見を備えているはずだという点によって、さらに重く見られました。
制裁金額に影響した要因
CNILは、170万ユーロのGDPR制裁金を決定するにあたり、Nexpublicaの財務状況、影響を受けた人数、そしてPCRMを通じて取り扱われるデータの機微性など、複数の要因を考慮しました。また、同社が侵害以前から既存のセキュリティ問題を認識していたにもかかわらず、事案が報告された後まで是正措置を講じなかった点も考慮されました。
Nexpublicaはその後、セキュリティ対策を改善するために必要な変更を実施しましたが、CNILは、これによって過去の不備の重大性が覆い隠されることはないと示しました。重要な修正がすでに同社のシステムに組み込まれているため、CNILは別途の遵守命令を求めませんでした。しかし、このGDPR上の制裁は、機微な公共部門データを扱うソフトウェア提供者に対し、セキュリティ上の欠陥は事後対応ではなく、事前に積極的に対処しなければならないという厳しい警鐘となっています。
