Meta、パスワードを平文で保存していたとして1億200万ドル（約1330億ウォン）の制裁金を科される

• アイルランドのデータ保護委員会（DPC）は、2019年のセキュリティ侵害事件に関する調査を終えた後、Metaに1億150万ドル（9100万ユーロ）の制裁金を科した
• Metaは当初、2019年1月に自社サーバーへ一部ユーザーのパスワードが平文で保存されていた事実を公表した
• 1か月後には、数百万件のInstagramパスワードも容易に読める形式で保存されていたと更新した
• Metaはどれだけのアカウントが影響を受けたかは明らかにしなかったが、当時のある上級幹部は Krebs on Security に対し、最大6億件のパスワードが関係していたと述べた
• 一部のパスワードは2012年から社内サーバーに平文で保存されており、2万人を超えるFacebook社員が検索できた
• DPCは、パスワードが外部の第三者に提供されていなかったことを確認した
• DPCは、Metaが複数のGDPR規則に違反したと判断した
  • ユーザーパスワードの平文保存に関連する個人データ侵害を遅滞なくDPCへ通知しなかった
  • ユーザーパスワードの平文保存に関連する個人データ侵害を文書化しなかった
  • ユーザーパスワードの無断処理に対する安全性を確保するための適切な技術的措置を用いなかった
• DPCの副委員長Graham Doyleは、「ユーザーパスワードは平文で保存されるべきではなく、とりわけソーシャルメディアアカウントへのアクセスを可能にする機微情報であることを考慮すべきだ」と述べた
• DPCは制裁金に加えてMetaへ警告も与えており、委員会が最終決定を公表する際にMetaへどのような影響があるのか、さらに分かる見込みだ

GN⁺の意見

• 今回の事件は、大手テック企業の個人情報保護慣行に警鐘を鳴らす契機となりそうだ。ユーザーデータを安全に管理することがどれほど重要かを改めて思い起こさせる
• Metaは今回を機にセキュリティシステムを大規模に点検し、改善する必要がある。暗号化などの技術的措置だけでなく、従業員教育や内部監査など、組織的な取り組みも必要に見える
• GDPR違反に対する制裁金の水準はますます高まっている。企業はGDPRをはじめ各国の個人情報保護法を徹底して順守することが、リスク管理の観点からも重要だと認識すべきだ
• 一方で、今回明らかになったセキュリティ上の脆弱性が実際に悪用された形跡は確認されていない。それにもかかわらずMetaが巨額の制裁金を支払うことになったのは、問題の重大性と関連規定違反の程度が大きいと判断されたためとみられる
• パスワード管理に関しては、平文保存のほかにも、ソルト／ハッシュの使用や強力なパスワードポリシーの適用など、さまざまなセキュリティ措置が求められる。企業は全社的な観点で体系的なパスワード管理方針を整備し、厳格に適用する必要がある