Uberが2016年に顧客5700万人の名前や電子メールアドレス、電話番号などのデータを流出させた件に対する制裁金はさらに100万ドル超上積みされた。
2カ月前、この配車サービス大手は、米国でのデータ流出に関係する法的問題を解決するため50州、加えてワシントンD.C.と和解し、制裁金1億4800万ドルを払うことに合意した。
しかしながら流出には欧州のユーザーのデータも含まれていた。そして昨日、英国のデータ保護当局であるICOは英国の法規制に基づき、38万5000英ポンド(約49万ドル)の制裁金を科すと発表した。
オランダのデータ保護当局もまた昨日、オランダの法に違反したとして60万ユーロ(約67万ドル)の制裁金を科した。
EUの法律適用においては、英国とオランダでのデータ流出はEUの法律が施行される前のことだったとしてUBERは巧みに回避した。
英国の制裁金は最大50万英ポンドだったのに対し、EUの新たな一般データ保護規則(GDPR)では対象企業のグローバル年間総売上高の4%が最高額となる。
GDPR下での比例式の制裁金は大きな額になりやすい。
ICOは、英国拠点のドライバー約8万2000人の記録ー過去の走行の詳細や、いくら支払われたのかといったものを含むーが2016年の10月と11月にあったデータ流出で盗み出されたが、Uberがその事実を公にしたのは1年前だったと指摘した。
一方、オランダの当局は、データ流出は17万4000人のオランダ市民に影響を及ぼしたとした。
GDPRではデータ流出の事実開示を定めていて、情報を扱う機関は、欧州市民の個人情報に影響する流出があった場合、72時間以内に関係する当局にその旨を通知しなければならない。その通知が遅れた場合、罰金が発生する可能性がある。
2016年のUber情報流出の調査で、Uberのデータストレージにアクセスするのに‘認証情報の数打ち’が使われたことが明らかになった、と英国の当局は述べているーその手口とは、ユーザーネームとパスワードのペアを、存在するアカウントとマッチするまでウェブサイトに入力するというものだ。
しかしながら当局はUberの問題のあるインシデント対処も指摘し、Uberのセキュリティが“不十分”だったと非難するだけでなく、“不適切な意思決定”だったと表した。
データ流出をすぐさま明らかにする代わりに、Uberは個人情報を入手したハッカーに10万ドルを支払うことを選び、彼らにデータを破棄するよう依頼した。そして、脆弱性報奨金制度を管理するサードパーティを通じて支払いを迂回させた。
ICOは、ハッカーがデータへのアクセスを不法に手に入れるために脆弱性を利用する方法を探し、悪意をもってハッキングに及んだと指摘しつつ、Uberの隠蔽を“不適切”と表現した。
調査にあたったICOのディレクターSteve Eckersleyは声明の中で「ハッカーに金を払いデータ流出を隠蔽するというのは、我々の考えでは不適切なサイバー攻撃対応だ。当時の規制では、データ流出を報告する法的義務はなかったが、Uberのお粗末なデータ保護プラクティスとデータ流出にかかる意思決定、そしてその後の行いが、事態をいっそう悪化させた」とコメントした。
さらに「これはUber側のデータセキュリティに深刻な欠陥があっただけでなく、個人情報が盗まれた顧客とドライバーの完全な軽視だった。当時、データ流出で影響を被った人に対し、その事実を知らせたりヘルプやサポートを提供する措置は取られなかった。そのために個人情報が盗まれた人は攻撃されやすい状態に置かれた」と加えた。
ICOはまた、制裁金を科すその理由の詳細がつづられた決定文書の全文で、制裁金の意図はこうした種類の“さらなる違反を阻止することだ”と記している。
オランダの当局もすぐさまデータ流出を明らかにしなかったことを制裁金の根拠に挙げている。
我々がUberにコメントを求めたところ、広報から以下の文が電子メールで送られてきた。
2016年から続いてきたデータ事件の章を閉じることができるのは喜ばしい。調査中、我々は欧州の当局と情報を共有し、インシデントが起こって以来、我々はシステムのセキュリティにおいて多くの技術的改善を図ってきた。規制当局と顧客に適切な透明性をさらに確保できるよう、管理体制にも大きな変更を加えた。今年初め、我々は初となるプライバシー責任者、データ保護責任者、新たな信頼とセキュリティ責任者を置いた。我々は過ちから学び、ユーザーの信頼を得るために日々取り組んでいく。
隠蔽は“不適切”としたICOの記述についてのコメントも求めたが、Uberは言及しなかった。
[原文へ]
(翻訳:Mizoguchi)
