英国のデータ保護監視機関は、2017年の侵害によって数百万のデータレコードを失った英国の小売グループとの長期的な法的闘争で小さな勝利を獲得しました。
ロード・ジャスティス・ワービーの決定は昨日下され、ここ [PDF]で読むことができます。
情報コミッショナー事務所(ICO)は2020年にDSG Retailに500,000ポンド(673,000ドル)の罰金を科しました。これはデータ保護法1998(DPA 1998)に基づいて許可された最高財政罰です。GDPR以前の関連法案です。
その金銭罰告知(MPN)は控訴裁判所の第一級仲裁廷によって支持されましたが、後に上級仲裁廷によって取り消されました [PDF]。上級仲裁廷はDSG Retailの味方をし、その決定が最終的なものであれば、ICOの罰金を事実上無効にしていたでしょう。
この事件で重要なのは、盗まれたデータの性質です。ハッカーは、消費者向け電子機器店のCurrys PC WorldおよびDixons Travelの5,390台のレジにマルウェアをインストールしました。これらの店舗は両方ともDSGが所有しています。
マルウェアは9ヶ月間検出されず、560万件のクレジットカード情報と約1400万人の個人情報を吸い上げました。ICOはMPNを発行する際にこれを確認しました。
当時のコミッショナーであるスティーブ・エッカースレイ氏は、ICOの調査結果は「懸念される」ものであり、「基本的でありふれたセキュリティ対策」に関するものであり、最終的に顧客データに対する「完全な軽視」を示していると述べました。
この長期的な法的事件の中心となっている争点は、攻撃者が得たカード情報がカード保有者を特定するために使用できるかどうかということです。支払い詳細から別にアクセスされた膨大な個人データは、この事件では議論されていません。
重要なことに、関係するカード情報は16桁のカード番号と有効期限でしたが、カードに記載された名前は含まれていません。
DSGは、ハッカーが支払いカード情報だけから人を特定できなかったため、この事件のこの特定の側面は個人データ侵害に該当しないと主張しています。DSGは、組織としてカード情報と実際の個人の間のリンクを確立できることを認めていますが、攻撃者はできなかったと述べています。
上級仲裁廷はICOに対して判決を下し、この事件は攻撃者の視点から見るべきだと主張しました。攻撃者がカード情報を使って人を特定できなかった場合、そのデータはDPA 1998違反の文脈では個人データとは見なされるべきではないと述べました。
ロード・ジャスティス・ワービーは木曜日、この議論は間違っていると結論付け、ICOの味方をし、この事件を最初の事件で正しく判決した第一級仲裁廷に送り戻しました。
彼の判決は上級仲裁廷の法律解釈に異議を唱え、個人データはコントローラーの観点から見る必要があり、個人の特定につながる可能性がある場合、この場合DSG Retailでは、それは個人データであると述べました。
関連する法令では、第三者がそれを使用して個人を特定できるかどうかに関わらず、データコントローラーはこのデータを保護することが要求されます。
ロード・ジャスティス・ワービーは、上級仲裁廷の考え方がDPA 1998の正しい解釈であった場合、混乱を招く結果につながる可能性があると付け加えました。
同じアプローチは、例えばランサムウェア攻撃の場合、攻撃者がそれを使用して人を特定できなかった場合、データコントローラーがデータを保護する負担から事実上解放されるでしょう。
「上級仲裁廷の推論とDSGの提出物に暗黙的に含まれているのは、そのような介入は、悪意のある行為者がデータが関連する人々を特定することができない限り、データの主体の観点からは本質的に無害であるということです。そのため、それらに対して保護する義務は無意味に負担になるでしょう」とロード・ジャスティス・ワービーは判決しました。「私はそれに同意しません。」
彼はジグソー識別の可能性について論じ、攻撃者がオンラインでアクセス可能な膨大な個人データを様々なソースを通じて使用してカード保有者を特定できることについて述べました。
「技術は非常に洗練されました。個人に関する情報を引き出すために、異なるアイテムを見つけ、集約し、結合する能力は大幅に向上しました。個人を特定しない部分への不正アクセスが、(正当な)識別手段へのアクセス権を持つ未知の第三者による処理につながる可能性があるリスクを排除することはしばしば不可能であることが証明されます。」
控訴裁判所がDSGが支払いカード情報を個人データとして保護する法的義務を持つと判決したため、第一級仲裁廷はこの判決の文脈でこの事件を再検討します。
DSGは仲裁廷の決定に控訴することができ、それを再び上級仲裁廷に送り戻すことができます。紛争が残る場合、英国最高裁判所の問題となる可能性があります。
ICOの一般顧問であるビニー・ゴー氏は次のように述べています。「本日の判決は重要な勝利であり、サイバー攻撃の影響を受けた人々と業界に必要とされている明確性をもたらします。
「組織がハッカーによってどのように使用または悪用されるかに関わらず、処理するすべての個人データを保護する必要があるというCoA(控訴裁判所)の確認を歓迎します。これは、ハッカーが盗まれたデータセットから個人を識別できない場合でも、サイバー攻撃は実害を引き起こすことができ、実際に引き起こすことができるという認識を示しています。
「サイバー犯罪の脅威の増加に伴い、この決定は将来的に強力な行動を取る能力を強化し、すべての組織に明確なメッセージを送ります。あなたは保有する個人データを保護する保護義務があります。」
DSG Retailの現在の商号であるCurry’s PLCは、当社のコメントリクエストに応じていません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/20/ico_wins_battle_in_protracted_fight/
