Meta Platforms Ireland Limited(MPIL)に対する調査を受け、アイルランドのデータ保護委員会(DPC)は、ソーシャルメディア利用者のパスワードの不適切な取り扱いおよびGDPR侵害を理由に、同社に9100万ユーロ(1億200万ドル)の罰金を科した。
DPCは、MPILがソーシャルメディア利用者の一部のパスワードを社内システムに「平文」(すなわち暗号学的保護や暗号化なし)で誤って保存していたとDPCに通知したことを受け、2019年4月に最初の調査を開始した。
DPCの副コミッショナーであるグラハム・ドイルは次のように述べた。「利用者パスワードは平文で保存すべきではないという点は広く受け入れられており、そのようなデータにアクセスする者によって生じ得る悪用のリスクを考えればなおさらです。」
ドイルはまた、本件で検討対象となったパスワードは、利用者のソーシャルメディアアカウントへのアクセスを可能にするため、特に機微性が高いとも指摘した。
Infosecurityに送付された声明で、Metaの広報担当者は次のように述べた。「2019年のセキュリティレビューの一環として、FB利用者のパスワードの一部が、当社の社内データシステム内で一時的に可読な形式でログに記録されていたことが判明しました。私たちは直ちにこの誤りを修正する措置を講じ、これらのパスワードが悪用された、または不適切にアクセスされたという証拠はありません。この問題は主たる規制当局であるアイルランドのデータ保護委員会に先んじて報告し、この調査を通じて建設的に協力してきました。」
現時点では、Metaがこの罰金を争うかどうかは不明である。
BH ConsultingのCEOで、ユーロポール(Europol)のサイバーセキュリティに関する元特別顧問であるブライアン・ホーナンは次のように述べた。「Metaはパスワードにアクセスされていないと主張していますが、それは不十分なセキュリティ管理が存在していた事実を否定するものではありません。もしそれらのパスワードが侵害されていたなら、罰金ははるかに高額になっていたはずです。」
ホーナンはさらに、「この罰金は、組織がデータ主体の個人データを保護するために適切なセキュリティ対策と管理を確実に整備し、また侵害を適時に検知して適切な規制当局へ報告するための適切なプロセスを整備する必要があるという明確なメッセージです」と付け加えた。
Meta、GDPR違反の疑い
DPCはGDPR第60条に基づき、2024年6月にEU/EEA全域の他の関係監督当局に対して決定案を提出した。他当局から当該決定案に対する異議は提起されなかった。
罰金の通知は9月26日に発出された。
DPCの声明によれば、Metaは、利用者パスワードを平文で保存していたことに関する個人データ侵害について、DPCへの通知を怠ったという。
また、MPILは、無権限の処理から利用者パスワードの適切な安全性を確保するための適切な技術的または組織的措置を講じていなかったとも述べた。
最後にMetaは、利用者パスワードの継続的な機密性を確保する能力を含め、リスクに見合った水準の安全性を確保するための適切な措置を実施していなかったため、GDPRにも違反した。
DPCは、この決定が完全性および機密性というGDPRの原則に関するものであると述べた。
GDPRは、個人データを処理する際、サービス利用者に対するリスクやデータ処理の性質などの要因を考慮し、データ管理者に適切なセキュリティ対策を実施することを求めている。
安全性を維持するため、データ管理者は処理に内在するリスクを評価し、それらのリスクを軽減する措置を実施すべきである。
DPCは、この決定は、利用者パスワードを保存する際にそのような措置を講じる必要性を強調するものだと述べた。
翻訳元: https://www.infosecurity-magazine.com/news/irelands-dpc-hits-meta-with-91/
