フランスのデータ保護当局(CNIL)は、サイバー脅威に対する顧客データの保護が不十分だったとして、Free Mobileおよび親会社のFreeに対し、合計4,200万ユーロの制裁金を科しました。
同社はフランスで第2位のインターネットサービスプロバイダーで、2024年10月にデータ侵害を受け、モバイルおよび固定回線の加入者約2,300万人分の情報が流出しました。
ハッカーは同社の管理ツールを標的にして機密性の高い顧客情報を盗み出し、後にハッカーフォーラムで販売しました。出品は「drussellx」というアカウントから行われ、攻撃の影響を受けた顧客は1,920万人で、詳細には約25%の人々のIBANが含まれていると主張していました。
この事件に関する調査の結果、CNILは、Freeが事件後にサイバーセキュリティ態勢を改善したにもかかわらず、以前の過失がGDPRの複数の規則に違反していたと結論づけました。
「このデータ侵害の影響を受けた個人からの多数の苦情(現在までに2,500件超)を受け、CNILは検査を実施し、FREE MOBILEおよびFREEに帰責される一般データ保護規則(GDPR)上の複数の義務違反を明らかにしました。両社はそれぞれ、自社の加入者に関するデータ管理者です」と、フランス当局は述べています
具体的には、次の違反が認定されました:
- データの安全性確保の不履行(GDPR第32条) – Free MobileおよびFreeは、従業員のリモートアクセスにおけるVPN認証の弱さや、異常な活動の検知が不十分であるなど、適切なセキュリティ対策を講じておらず、これが攻撃を可能にしました。
- 侵害の影響を受けた個人への適切な通知の不履行(GDPR第34条) – 両社は利用者に通知したものの、メールには詳細情報が欠けており、侵害の結果や、リスクを軽減するために取るべき手順が明確に説明されていませんでした。
- 個人データの過剰な保管(GDPR第5条1項(e)) – Free Mobileは、数百万人の元加入者の個人データを必要以上に長期間保持し、会計目的で正当化される範囲を超えて、適時に整理または削除していませんでした。
CNILは両社に対し、新たに導入したセキュリティ対策を3か月以内に完了するよう命じ、さらにFree Mobileには、過剰な顧客データの整理と削除を6か月以内に完了するよう求めました。
Free Mobileでの侵害後、フランスでは大手通信事業者において、顧客情報の露出やサービス障害につながる事件がさらに発生しました。
2025年7月には、Orange Franceが、自社システムで侵害を検知し、運用上の障害が発生したと発表しました。1か月後には、Bouygues Telecomがデータ侵害を受け、640万人の顧客の機微なデータが流出しました。
