個人情報保護委、クラウド環境の誤設定による個人データ漏洩を巡りトヨタ自動車に行政指導
――約10年間にわたり約230万人分、再発防止策・指導に「委託先の管理・監督」も――
個人情報保護委員会は7月12日、トヨタ自動車(本社・愛知県豊田市、東証プライム市場・名証プレミア市場上場)がいわゆるコネクテッドサービス(a)T-Connect、(b)G-Linkに関する個人データの取扱いを委託するトヨタコネクティッド(本社・愛知県名古屋市、非上場)のクラウド環境の誤設定に起因して約10年間にわたり約230万人分の個人データが外部から閲覧できる状態にあり漏洩発生のおそれがあった事案を巡り、トヨタ自動車に対して個人情報保護法147条に基づく行政指導を行ったと発表した。
トヨタ自動車においては同日、(ア)5月12日公表「クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて」および5月31日公表「クラウド設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて」の事案に関して個人情報保護委員会から指導があった旨とともにお詫びを表明、併せて(イ)再発防止策(編注・後述参照)の実施を徹底していくことなどを発表している。
個人情報保護委員会によると、上記コネクテッドサービス(a)および(b)のサーバが公開状態に置かれていたことにより(a)用サーバについては2013年11月ころから今年4月ころまで「車載機ID、車台番号及び車両の位置情報等」が、(b)用のサーバについては2015年2月ころから今年5月ころまで「車載機ID、更新用地図データ及び更新用地図データの作成年月日等」が外部から閲覧可能な状態にあった。問題点として、次の2点を指摘している。(1)サーバのクラウド環境設定を行う従業員への個人情報に関する研修内容が不十分であったことから本件サーバ内に保存された車載機IDなどが個人情報として認識されておらず適切な取扱いが行われていなかった、(2)本件サーバのクラウド環境設定には不備がありアクセス制御が適切に実施されていなかった点に問題があったところ、トヨタ自動車においては委託先であるトヨタコネクティッドにおける個人データの取扱いについてアクセス制御の観点からの監査・点検を実施しておらずトヨタコネクティッドの個人データの取扱状況を適切に把握していなかった。
この記事はプレミアム向け有料記事です
ログインしてご覧ください
個人情報委、トヨタ自動車株式会社による個人データの漏えい等事案に対する個人情報の保護に関する法律に基づく行政上の対応について〔個情法147条に基づく指導〕
https://www.ppc.go.jp/files/pdf/230712_01_houdou.pdf
トヨタ自動車、お客様情報の漏洩可能性に関するお詫びとお知らせについて(再発防止策のご報告)
https://global.toyota/jp/newsroom/corporate/39529198.html