フランスのデータ保護規制当局は、大規模なデータ侵害の一因となったサイバーセキュリティ上の脆弱性を理由に、フランスの通信大手に4,200万ドルの罰金を科した。
2024年10月、ハッカーがフランスのFree SASおよび姉妹会社Free Mobileの情報システムに侵入し、2,400万人の加入者について、国際銀行口座番号を含む個人データにアクセスした。
Free SASは主要な電気通信事業者で、Free Mobileは移動体通信ネットワーク事業者である。いずれもフランスのGroupe Iliadの子会社だ。
CNILとして知られるデータ保護規制当局は、侵害を受けて調査を開始し、欧州の一般データ保護規則(GDPR)違反を認定した。
CNILは水曜日、Freeに2,700万ユーロ(3,100万ドル)、Free SASに1,500万ユーロ(1,700万ドル)の罰金を科したと発表した。
Groupe Iliadの広報担当者は、コメント要請に直ちには応じなかった。
罰金額は、侵害されたデータの機微性に加え、各社の大きな利益および「基本的なセキュリティ原則に関する知識の欠如」に影響されたと、CNILのプレスリリースは述べている。
CNILによれば、各社には十分なセキュリティ対策が欠けており、VPN接続に弱い認証手順を提供していたほか、情報システム上の異常な活動を検知する有効な措置もなかった。
各社は、影響を受けた顧客に対し「侵害の結果や、自身を守るために取れる措置を直接理解できる」だけの十分な情報を提供しなかったとして、GDPRの侵害通知要件にも違反した。
CNILはまた、Free Mobileが元加入者のデータを保持し続け、不必要にリスクにさらしていたとも主張した。
当局によれば、調査開始以降、各社はセキュリティ改善のための措置を講じており、今後も継続するよう命じられている。
翻訳元: https://therecord.media/france-data-regulator-fine
