フランス当局、Free Mobileに巨額罰金
フランスのデータ保護当局(CNIL)は、通信事業者Free Mobileとその親会社Freeに対し、顧客データ保護の不備を理由に
総額4,200万ユーロ(約67億円)の罰金
を科しました。Free Mobileはフランスで2番目に大きなインターネットサービスプロバイダであり、この処分は同社のサイバーセキュリティ対策の不備を浮き彫りにしています。
2024年の大規模データ侵害の詳細
この罰金は、
2024年10月に発生したデータ侵害事件
に関連するものです。ハッカーは同社の管理ツールを標的にし、約2,300万人のモバイルおよび固定回線契約者の情報を盗み出しました。盗まれたデータには、機密性の高い顧客情報が含まれており、「drussellx」と名乗るアカウントがハッカーフォーラムで販売を試みました。このアカウントは、1,920万人の顧客が影響を受け、そのうち約25%のIBAN(国際銀行口座番号)が含まれていたと主張しています。
CNILによるGDPR違反の認定
データ侵害後、CNILには2,500件以上の苦情が寄せられ、これを受けて詳細な調査が実施されました。CNILは、Free Mobileが事件後にサイバーセキュリティ体制を改善したものの、以前の対策が不十分であり、
複数のGDPR(一般データ保護規則)違反があった
と結論付けました。
特定された主要なGDPR違反
-
データセキュリティ確保の不履行(GDPR第32条): Free MobileとFreeは、従業員のリモートアクセスに対するVPN認証が脆弱であり、異常な活動の検出も効果的ではなかったため、攻撃を許してしまいました。
-
影響を受けた個人への適切な通知の不履行(GDPR第34条): 両社はユーザーに通知を行いましたが、そのメールには侵害の詳細情報が不足しており、侵害の結果やリスク軽減のために取るべき手順が明確に説明されていませんでした。
-
個人データの過剰な保持(GDPR第5条1項(e)): Free Mobileは、数百万人の元契約者の個人データを必要以上に長期間保持しており、会計目的で正当化される期間を超えて、データを適時に整理または削除していませんでした。
Free Mobileに義務付けられた改善措置
CNILはFree MobileとFreeに対し、以下の措置を命令しました。
-
新たに実施されたセキュリティ対策を
3ヶ月以内
に完了すること。
-
Free Mobileは、過剰な顧客データの整理と削除を
6ヶ月以内
に完了すること。
フランスの通信業界における一連のインシデント
Free Mobileのデータ侵害は、フランスの通信業界における一連のセキュリティインシデントの一部です。2025年7月には、Orange Franceがシステム侵害を検知し、運用に支障をきたしました。そのわずか1ヶ月後には、Bouygues Telecomがデータ侵害に見舞われ、640万人の顧客の機密データが流出しました。これらの事件は、大手通信プロバイダにおけるサイバーセキュリティ対策の強化が喫緊の課題であることを示しています。