Insurer fined $3M for exposing data of 650k clients for two years

スウェーデンのプライバシー保護庁(IMY)は、数十万人の顧客に属する機密データをオンラインポータル上に公開したとして、保険会社トリッグ・ハンザに300万ドルの罰金を科した。

Trygg-Hansa は、個人、民間企業、公的機関向けの保険会社であり、資産管理および投資コンサルティング会社でもあります。

IMYは、Moderna Försäkringar(現在はTrygg-Hansaの一部)の顧客からの情報を受けて、同社に対する調査を開始した。顧客は、顧客に送信された見積ページにあるリンクをたどることで保険会社のバックエンドにアクセスできることを発見した。

これらは、Trygg-Hansa の Web サイト上の見積もりページへの固有の Web アドレス (URL) を含む、SMS または電子メールを介してすべての既存顧客または潜在顧客に送信されます。

IMY は、認証を必要とせずにバックエンド データベースにアクセスでき、URL 内で連続したクライアント ID 番号を変更することで、他の個人のプライベート文書を閲覧できることを確認しました。

約65万人の顧客が影響を受けた。暴露された情報には次のものが含まれます。

  • 個人データ
  • 健康情報
  • 状態詳細
  • 財務情報
  • 連絡先詳細
  • 社会保障番号
  • 保険の詳細

さらに悪いことに、IMY は、2018 年 10 月から 2021 年 2 月までの 2 年以上にわたって、Trygg-Hansa のポータルを通じてデータが無許可の当事者に公開されていたと判断しました。

このように長期間にわたる暴露期間により、誰かが欠陥を発見し、それを悪用して機密情報を収集する可能性が高まります。

この種のデータはサイバー犯罪者に販売され、詐欺やフィッシング、さらには暴露された個人の恐喝に使用される可能性があります。

IMYは、不正ユーザーに個人情報が漏洩した顧客の事例を少なくとも202件確認できているが、これは氷山の一角かもしれない。

「これらの欠陥は根本的な性質のものであったため、現在の IT システムが導入される前に、そしていずれにせよ、システムが長期間使用されていた間に、Trygg-Hansa はこれらを検出して修正することができたはずです。」 – IMY

IMYによると、保険会社が欠陥に関する報告を受けた後もずっと問題を改善しなかったことは、データセキュリティとリスク軽減策に重大な不足があることを示しており、規制当局はそれに対して300万ドルの行政罰を課すことを決定したという。

Trygg-Hansa 事件に関する IMY の判決全文は、こちらからご覧いただけます