GDPRで罰金を課されるケースも増えてきていますが、不動産会社もその例外ではないようです。
ico.org.uk
ICO(Information Commissioner's Office)は、 18,610人の顧客の個人データを約2年間公開しているとして、ロンドンの不動産会社に£80,000の罰金を科しました。
セキュリティ違反は、Life at Parliament View Ltd(LPVL)が個人データをサーバーからパートナー組織に転送し、「匿名認証」機能を無効にできなかったときに発生しました。この失敗は、アクセス制限が実装されていないことを意味し、2015年3月から2017年2月までの間に保存されたすべてのデータにオンラインでアクセスできるユーザー全員にアクセスを許可しました)
公開された詳細には、銀行取引明細書、給与の詳細、パスポートのコピー、生年月日、テナントと家主の住所などの個人データが含まれていました。
(ICO発表より引用)※機械翻訳
◆キタきつねの所感
英国の不動産会社Life at Parliament View Ltdは、ホームページが出てこないので、そんなに大きな会社という訳ではないようです。2000年10月に設立という事だったので18年ロンドンで不動産業を営む会社という程度にしか会社内容がわかりませんが、アクセス制限不備での意図しない情報公開は、日本でも起こりそうな事件だと思います。
しかし、その罰金が8万ポンド(約1000万円)と聞けば、規模の小さな会社であれば経営が傾いてしまう事もあるかも知れません。
ICOの発表詳細を見ると、かなり初歩的なミスを犯している事がわかります。
FTPでデータ転送している保存先の公開設定ミスで、本来はBASIC認証が必要なファイル(フォルダ)だったのが、実はBASIC認証不要でファイルにアクセスが出来た・・・という何とも残念な状態だった様です。
残念ながら設定ミスがあり意図しない公開を2年していた間に、 51万件のユーザアクセス(1213ユニークIPから)があり、これらはプログラム的手法で何度も繰り返された様です。
公開フォルダの設定ミス、つまりスタッフ教育が不十分だった事によって1000万円の罰金と考えると、従業員教育(ホームページ設定)にもっとお金をかけていたら・・・と当該不動産会社の経営陣は思っているかも知れません。
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴