アイルランドデータ保護委員会(DPC: Data Protection Commission Ireland)は9月27日(現地時間)、「Irish Data Protection Commission fines Meta Ireland €91 million|27/09/2024|Data Protection Commission」において、Meta Platforms Ireland Limited(Metaのアイルランド現地法人)がソーシャルネットワーキングサービス(SNS: Social networking service)のユーザーパスワードをプレーンテキスト(平文のまま)で保存していたとして、制裁金を科す決定を下した。この事案は2019年3月に明らかになったもので、5年後の2024年6月に決定案が提出され今回の発表となった。

欧州連合(EU: European Union)はEU一般データ保護規則(GDPR: General Data Protection Regulation)において、企業が保持するパスワードに対しハッシュ化または暗号化を求めている。この規則に違反すると、多額の制裁金を科される可能性がある。

  • Irish Data Protection Commission fines Meta Ireland €91 million|27/09/2024|Data Protection Commission

    Irish Data Protection Commission fines Meta Ireland €91 million|27/09/2024|Data Protection Commission

最終決定

アイルランドデータ保護委員会は、Meta Platforms Ireland Limitedがユーザーのパスワードをプレーンテキストで保存していたとして、戒告および9,100万ユーロの制裁金を科すことを決定した。次の点についてEU一般データ保護規則に違反したと認定している。

  • ユーザーパスワードを平文で保存したことに関する個人データ漏洩について通知しなかった
  • ユーザーパスワードを平文で保存したことに関する個人データ漏洩について文書化できなかった
  • ユーザーパスワードを不正に処理したことに対する適切な技術的および組織的なセキュリティ確保を講じなかった
  • パスワードの継続的な機密性確保の能力を含め、リスクに見合ったセキュリティを確保する技術的および組織的な対策を実施しなかった

調査の概要

この事案は2019年3月、誤ってパスワードをプレーンテキストで保存していたとして、Meta Platforms Ireland Limitedが自ら通知したことで明らかになった(参考:「Keeping Passwords Secure | Meta」)。通知の翌月には調査が開始され、パスワード処理に関連するリスクに適切なセキュリティが確保されていたか、個人データの侵害を記録して通知する義務を遵守していたかが評価された。

データ保護委員会の副委員長は、この件について次のように述べ、大手IT企業が管理するパスワードは特に厳重に管理すべきだと訴えている。

ユーザーのパスワードを平文で保存すべきでないことは広く理解されている。今回調査の対象となったパスワードは、ソーシャルメディアアカウントへのアクセスを可能にするものであり、特に機密性の高いものであることを念頭に置く必要がある。

GDPRは、たとえ単純なミスであってもパスワードを不適切に管理することを認めていない。違反すれば多額の制裁金を科される可能性があり、企業にはユーザーのパスワードを適切な手段で厳重に管理することが求められている。