アイルランドのデータ保護委員会(DPC)は、数億人のユーザーのパスワードを平文で保存していたとして、メタ・プラットフォームズ・アイルランド・リミテッド(MPIL)に9100万ユーロ(約1億円)の罰金を科した。
事件は2019年に発生した。当時、メタ社はそれを公表し、DPCに通知した。DPCは、機密性の高いユーザーデータを保管するテック大手の慣行について調査を開始した。
“2019年3月、MPILはDPCに対し、ソーシャルメディアユーザーの特定のパスワードを社内システム上に『平文』で(つまり暗号保護や暗号化なしで)不注意にも保存していたことを通知した“とDPCの発表には書かれている。
2019年の情報開示でメタ社は、年初の定期的なセキュリティレビューの際に、読み取り可能な形式でシステム上に保存されていた「一部のユーザーパスワード」を発見したと述べた。
同社は影響を受けたユーザーの数については明言しなかったが、「数億人のフェイスブック・ライト・ユーザー、数千万人の他のフェイスブック・ユーザー」、そして数百万人のインスタグラム・ユーザーに通知すると推定している。
注目すべきは、パスワードは外部からも入手可能であり、レビューでは悪用や不適切なアクセスの証拠は見つからなかったことだ。
暗号化やアクセス制御などの適切な保護なしにユーザーアカウントのパスワードを保存することは、データ管理者が人々のデータのセキュリティを保証するために実施する措置に関する一般データ保護規則(GDPR)の複数の条文に違反することになる:
- 第33条1項– 個人データ侵害の通知:個人データ漏洩の通知:メタ社は、ユーザーのパスワードを平文で保存していたことを適時にDPCに通知しなかった。
- 第33条(5)-個人データ漏洩の文書化:メタ社は、ユーザーパスワードの平文保管に関連する個人データ漏洩を適切に文書化しておらず、インシデントに関する適切な記録を保持していなかった。
- 第5条(1)(f)– 完全性と機密性:Metaは、ユーザーのパスワードの保護を保証するための適切なセキュリティ対策を実施しなかった。パスワードは平文で保存され、暗号化または暗号による保護が欠けていたからである。
- 第32条(1)– 処理の安全性: メタ社は、データの機密性を維持し、不正アクセスのリスクを低減する暗号化など、パスワードを保護するための適切な技術的・組織的措置を実施しなかった。
上記の違反に対して、またメタ社が自発的にアイルランドのデータ保護当局に報告したことを考慮し、DPCは公式な譴責と9100万ユーロの行政処分を科す。
DPCは後日、その完全な決定と事件に関する情報を公表する予定である、と同局は述べている。
Comments