概要:フランス失業庁、大規模データ侵害で巨額罰金
フランスのデータ保護機関である国家情報処理自由委員会(CNIL)は、国内の公的雇用サービス機関であるFrance Travail(旧Pôle Emploi)に対し、データ保護の不備を理由に500万ユーロ(約600万ドル)の罰金を科しました。これは、2024年初頭に発生したデータ侵害により、最大4300万人もの求職者の個人情報が流出したことを受けての措置です。
France Travailは失業給付の提供と求職者の就職支援を行う機関であり、数百万人のフランス市民に関する個人情報および財務情報の広範なデータベースを管理しています。
データ侵害の詳細と影響
CNILによると、今回のデータ侵害は2024年第1四半期に発生しました。ハッカーは「ソーシャルエンジニアリング」と呼ばれる手法を用いてFrance Travailの情報システムに侵入し、障がい者の雇用支援を担当するCAP EMPLOIアドバイザーのアカウントを乗っ取ったとされています。
流出した情報には、氏名、生年月日、社会保障番号、メールアドレス、自宅住所、電話番号などが含まれていました。ただし、銀行口座情報やアカウントパスワードは影響を受けておらず、機密性の高い健康データを含む完全な求職者ファイルも盗まれていないとのことです。
今回の流出データは、過去20年間の求職者の個人情報に及んでいます。
CNILの対応と過去の事例
CNILはFrance Travailに対し、是正措置を文書化し、詳細な実施スケジュールを提出するよう命じました。この命令に従わない場合、改善が見られるまで1日あたり5,000ユーロの罰金が科せられます。
France Travailは、2023年8月にも約1,000万人の氏名と社会保障番号が流出する大規模なデータ侵害を経験しています。
CNILは近年、データ保護違反に対し厳格な姿勢を見せており、昨年はGoogleに3億2500万ユーロ、Sheinのアイリッシュ子会社に1億5000万ユーロの罰金を科しました。直近では、2024年10月のデータ侵害で顧客データ保護の不備があったとして、Free Mobileとその親会社に4200万ユーロの罰金を科しています。
セキュリティ意識向上への教訓
今回の事件は、政府機関を含むあらゆる組織が、個人情報保護に対する意識とセキュリティ対策を一層強化する必要があることを改めて浮き彫りにしました。特にソーシャルエンジニアリングのような巧妙な手口に対する従業員の教育とシステムの堅牢化が急務です。