情報コミッショナー事務局(ICO)によると、英国の自動車サービス会社RACの元カスタマーサービス従業員2人が、個人情報を違法に販売したとして執行猶予付きの懲役刑を言い渡された。
データ保護規制当局によれば、サルフォード在住のデビー・オクパラヴェロ(61)と、マンチェスター在住のマリハ・イスラム(51)は、グレーター・マンチェスターのストレットフォードにあるRACのコールセンターで勤務していた。
雇用主は、新たな監視ソフトウェアを導入した後にこの違法行為を発見したとみられ、その結果、彼女らが交通事故被害者に関する個人情報の29,500行以上にアクセスしてコピーしていたことが判明した。
その情報に対して、匿名の第三者が彼女らに支払いをしていたことが、後に行われたオクパラヴェロの携帯電話の捜索および彼女がイスラムと共有していたWhatsAppメッセージから明らかになった。
内部脅威について詳しく読む:法務部門のデータ侵害の68%は内部脅威が原因
ICOの調査責任者アンディ・カリーは、業務上の必要性がないにもかかわらず個人情報にアクセスすることは違法であると確認した。
「さらに、その情報を売って他人の不幸から利益を得ようとするのは言語道断です。私たちは、この種の違法行為から市民を守るため、常に行動します」と彼は声明で付け加えた。
「この侵害を迅速に当局へ知らせてくれたRACに感謝します。これにより、正義が果たされるよう確実にすることができました。」
10月8日にミンシュル・ストリート刑事法院で行われた審理で、オクパラヴェロとイスラムは、コンピュータ不正使用法(1990年)およびデータ保護法(2018年)に基づく罪を認めた後、懲役6か月(18か月の執行猶予)の判決を言い渡された。
また、それぞれに150時間の無給労働が命じられた。
増加する内部脅威
悪意ある内部脅威は、関与する人物が行為を隠すために多大な努力を払うため、第三者によるデータ侵害よりも発見が難しいことが多い。
3月には、ICOが漏えいを調査していると発表した 。これは、2024年1月に腹部手術後に入院していた際、ロンドン・クリニックの職員がウェールズ公妃の私的な医療記録にアクセスしようとしたとする報道を受けたものだ。
4月のCifasの報告書によると、同団体の業界横断型インサイダー脅威データベース(ITD)に記録された個人の数は、2023年に年率14%増加した。非営利団体は、リモートワークの拡大により、悪意ある従業員が行為を見逃されやすくなっていると主張した。
画像クレジット:Sue Thatcher / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/rac-employees-suspended-sentence/
