アイルランドデータ保護委員会 (DPC) は、数億のユーザーパスワードを誤って平文で内部に保存したとして、Meta Platforms Ireland Limited (MPIL) に 9,100 万ユーロ (1 億ドル) の罰金を科しました。
また、この件で同社を戒告処分とした。
2019年3月、MetaはDPCに対し、特定のFacebookユーザーのパスワードを平文で、つまり暗号化保護も暗号化もせずに誤って内部システムに保存していたと通知した。当時の事件についても公的に認めた。
「1月の定期的なセキュリティレビューの一環として、一部のユーザーパスワードが内部データストレージシステム内に読み取り可能な形式で保存されていることが判明しました。私たちのログイン システムは、パスワードを判読できなくする技術を使用してパスワードをマスクするように設計されているため、これが私たちの注意を引いた」とメタ氏は明らかにした。ニュースリリース2019年3月に。
同社はこの問題の影響を受けるユーザーの数は明らかにしていないが、「数億人のFacebook Liteユーザー、数千万人のその他のFacebookユーザー」、そして「数百万人のInstagramユーザー」に通知することになると推定している。
当時メタ社は、パスワードが外部に公開されており、内部で悪用されたり不正にアクセスされたりしたという証拠は見つからなかったと述べた。
Meta による事件の開示を受けて、DPC は 2019 年 4 月に、MPIL の欧州連合一般データ保護規則 (GDPR) への準拠を評価するために、同社のパスワード保管慣行を調査しました。
特に、このテクノロジー大手は、GDPR に基づく 4 つの異なる条項を侵害していました。これには、個人データ侵害を DPC に通知しなかったこと、ユーザーのパスワードを平文で保存することに関する個人データ侵害の文書化を怠ったこと、適切な技術的パスワードを使用しなかったことなどが含まれます。ユーザーのパスワード データを不正な処理から保護し、適切な技術的および組織的手段を利用してユーザー パスワードの継続的な機密性を確保するための組織的手段。
「ユーザーがそのようなデータにアクセスすることで生じる悪用のリスクを考慮すると、ユーザーのパスワードは「平文」で保存すべきではないということは広く受け入れられています。この件で検討の対象となるパスワードは、ユーザーのソーシャルメディアアカウントへのアクセスを可能にするため、特に機密性の高いものであることに留意する必要がある」とDPCの副長官グラハム・ドイル氏は声明で述べた。
DPC も次のように述べています。ニュースリリース, 「GDPRでは、データ管理者に対し、サービス利用者へのリスクやデータ処理の性質などの要素を考慮して、個人データを処理する際に適切なセキュリティ対策を講じることを義務付けています。セキュリティを維持するために、データ管理者は処理に内在するリスクを評価し、それらのリスクを軽減する措置を講じる必要があります。」
上記の GDPR 違反に応じて、DPC は Meta に 9,100 万ユーロ (1 億ドル) の罰金と、GDPR 第 58 条 (2) (b) に基づく懲戒を課しました。同庁は、この事件に関する完全な情報とさらなる情報を追って公表する予定である。
に反応して、DPC には罰金があるとメタ氏は述べた声明と共有したAP通信, 「このエラーを修正するために直ちに措置を講じましたが、これらのパスワードが悪用されたり、不正にアクセスされたという証拠はありません。私たちはこの問題を主任規制当局であるアイルランドデータ保護委員会に積極的に報告し、この調査を通じて彼らと建設的に取り組んできました。」
