英国のデータ保護規制当局は、重大なメールの誤送信により人命の損失につながりかねなかったとして、国防省(MoD)に35万ポンド(43万9000ドル)の罰金を科した。
情報コミッショナー事務局(ICO)によると、問題のメールは、同国のアフガン移転・支援政策(ARAP)から送信されたもので、同政策は、連合軍による同国占領期間中に英国政府のために、または英国政府とともに働いたアフガン市民の移転支援を担っている。
送信者が「宛先(To)」欄を使用したため、これらの人物245人分の個人情報が誤って全受信者に公開された。さらに、このうち55人については、メールプロフィール上でサムネイル画像も表示されていた。ICOによれば、2人が受信者全員に「全員に返信」し、そのうち1人は所在地を記載していたという。
移転をめぐる状況を踏まえると、データがタリバンの手に渡っていた場合、生命が危険にさらされていた可能性があると、規制当局は主張した。
MoDのセキュリティ問題について詳しく読む:英国政府のデバイスが年間2000台超行方不明に
ICOは、MoDが「適切な技術的および組織的措置を講じていなかった」と判断し、GDPRの重大な違反として当初100万ポンドの罰金を科した。しかしその後、同省がインシデント後に講じた対応を一部考慮し、ICOはこれを70万ポンドに減額した。
MoDは速やかに影響を受けた人々に連絡し、メールの削除、メールアドレスの変更、そして安全なフォームを通じて新しい連絡先情報をARAPチームに提供するよう求めた。また、内部調査を実施し、議会で漏えいについて声明を発表し、ARAPのメール方針と手順を更新した。これには、複数の外部受信者にメールを送信する際の「ダブルチェック(第二の目)」方針が含まれていた。
ICOの新たな公的部門向け罰金のアプローチの下で、金銭的制裁はその後半減され、35万ポンドとなった。
しかし、情報コミッショナーのジョン・エドワーズ氏は、このインシデントを「極めて悪質」と表現し、他の組織に対してもこの漏えいから教訓を得るよう促した。
「この非常に遺憾なデータ漏えいは、わが国が多大な恩義を負う人々を失望させた」と、同氏は付け加えた。
「2021年夏の現地の状況は非常に困難で、迅速な意思決定が求められていたが、それは報復を受けやすく深刻な危害のリスクにさらされていた人々の情報を保護しない理由にはならない。人々に対するリスクと被害の程度が高まるとき、対応もまた強化されなければならない。」
翻訳元: https://www.infosecurity-magazine.com/news/ministry-defence-fined-afghan-data/
