アイルランド データ保護委員会 メタ社に約410億円の罰金 (2024.12.17)

こんにちは、丸山満彦です。

アイルランドのデータ保護委員会がメタ社に410億円の罰金を課したと公表していますね...

大きくいうと２つの決定からなります。

• 第33条（監督機関に対する個人データ侵害の通知）違反（約18億円）
• 第25条（データ保護バイデザイン及びデータ保護バイデフォルト）違反（約392億円）

で金額が大きいのは、第25条違反...

 

● Irland Data Protection Commission

・2024.12.17 Irish Data Protection Commission fines Meta €251 Million

Irish Data Protection Commission fines Meta €251 Million	アイルランドデータ保護委員会、メタに2億5100万ユーロの罰金
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’). These own-volition inquiries were launched by the DPC following a personal data breach, which was reported by MPIL in September 2018.	アイルランドデータ保護委員会（DPC）は本日、メタ・プラットフォームズ・アイルランド・リミテッド（以下「MPIL」）に対する2件の調査に関する最終決定を発表した。これらの自主的な調査は、2018年9月にMPILが報告した個人データ漏えいを受けて、DPCが開始した。
This data breach impacted approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. The categories of personal data affected included: user’s full name; email address; phone number; location; place of work; date of birth; religion; gender; posts on timelines; groups of which a user was a member; and children’s personal data. The breach arose from the exploitation by unauthorised third parties of user tokens[1] on the Facebook platform.  The breach was remedied by MPIL and its US parent company shortly after its discovery.	このデータ漏えいは世界で約2,900万のFacebookアカウントに影響を与え、そのうち約300万はEU/EEAに拠点を置くアカウントであった。影響を受けた個人データのカテゴリーには、ユーザーのフルネーム、メールアドレス、電話番号、所在地、勤務先、生年月日、宗教、性別、タイムラインへの投稿、ユーザーがメンバーとなっているグループ、および子供の個人データが含まれていた。この違反は、Facebookプラットフォーム上のユーザートークン[1]を無許可のサードパーティが不正利用したことによって発生した。違反は、発見後すぐにMPILとその米国親会社によって是正された。
The decisions, which were made by the Commissioners for Data Protection, Dr. Des Hogan and Dale Sunderland, included a number of reprimands and an order to pay administrative fines totalling €251 million.	データ保護委員であるデス・ホーガン博士とデール・サンダーランド氏によって下された決定には、数多くの叱責と総額2億5100万ユーロの行政罰金の支払命令が含まれていた。
The DPC submitted a draft decision to the GDPR cooperation mechanism in Sept 2024, as required under Article 60 of the GDPR[2]. No objections to the DPC’s draft decision were raised. The DPC is grateful for the cooperation and assistance of its peer EU/EEA supervisory authorities in this case.	DPCは、GDPR第60条の規定に従い、2024年9月にGDPR協力メカニズムに決定のドラフトを提出した[2]。DPCの決定のドラフトに対する異議は提起されなかった。DPCは、この件に関して、EU/EEAの同等の監督当局から協力と支援を得られたことに感謝している。
The DPC’s final decisions record the following findings of infringement of the GDPR:	DPCの最終決定では、GDPR違反に関する以下の調査結果が記録されている。
Decision 1	決定1
Article 33(3) GDPR - By not including in its breach notification all the information required by that provision that it could and should have included. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €8 million.	GDPR第33条(3) - 違反通知に、同条項で要求されているすべての情報が含まれていなかったこと。DPCは、この条項に関するMPILの不履行を叱責し、800万ユーロの行政罰金の支払いを命じた。
Article 33(5) GDPR - By failing to document the facts relating to each breach, the steps taken to remedy them, and to do so in a way that allows the Supervisory Authority to verify compliance. The DPC reprimanded MPIL for failures in regards to this provision and ordered it to pay administrative fines of €3 million.	GDPR 第33条(5) - 各違反に関する事実、その是正措置、および監督機関によるコンプライアンスの検証を可能にする方法でそれらを文書化しなかったこと。DPCは、この規定に関する違反を理由にMPILを叱責し、300万ユーロの行政罰金の支払いを命じた。
Decision 2	決定 2
Article 25(1) GDPR - By failing to ensure that data protection principles were protected in the design of processing systems. The DPC found that MPIL had infringed this provision, reprimanded MPIL, and ordered it to pay administrative fines of €130 million.	第25条(1) GDPR - 処理システムの設計においてデータ保護の原則が防御されていることを確保しなかったこと。DPCは、MPILがこの規定に違反したことを認め、MPILを叱責し、1億3000万ユーロの行政罰金の支払いを命じた。
Article 25(2) - By failing in their obligations as controllers to ensure that, by default, only personal data that are necessary for specific purposes are processed. The DPC found that MPIL had infringed these provisions, reprimanded MPIL, and ordered it to pay administrative fines of €110 million.	第25条（2） - 特定の目的に必要な個人データのみがデフォルトで処理されるよう確保するという、管理者としての義務を怠ったこと。DPCは、MPILがこれらの規定に違反したと判断し、MPILを叱責し、1億1000万ユーロの行政罰金の支払いを命じた。
DPC Deputy Commissioner Graham Doyle commented:	DPC副委員長であるグラハム・ドイル氏は次のようにコメントした。
“This enforcement action highlights how the failure to build in data protection requirements throughout the design and development cycle can expose individuals to very serious risks and harms, including a risk to the fundamental rights and freedoms of individuals. Facebook profiles can, and often do, contain information about matters such as religious or political beliefs, sexual life or orientation, and similar matters that a user may wish to disclose only in particular circumstances. By allowing unauthorised exposure of profile information, the vulnerabilities behind this breach caused a grave risk of misuse of these types of data.”	「今回の措置は、設計および開発サイクル全体を通じてデータ保護要件を組み込まなかった場合、個人が深刻なリスクや被害にさらされる可能性があることを浮き彫りにしています。Facebookのプロフィールには、宗教や政治的信条、性生活や性的指向など、ユーザーが特定の状況下でのみ開示したいと考えるような情報が含まれていることがあり、実際にそうした情報が記載されていることもよくあります。プロファイル情報の無許可エクスポージャーを許可することで、この違反の背後にある脆弱性は、これらのタイプのデータの悪用という重大なリスクをもたらした。
The DPC will publish the full decision and further related information in due course.	DPCは、決定の全文と関連情報を今後公表する予定である。
Further information	詳細情報
[1] User tokens are coded identifiers that can be used to verify the user of a platform or utility, and to control access to particular platform features and to personal data of the user and their contacts.	[1] ユーザートークンは、プラットフォームやユーティリティのユーザーを識別し、特定のプラットフォーム機能やユーザーおよびその連絡先の個人データへのアクセスを制御するために使用されるコード化された識別子である。
[2] Article 60 of the GDPR regulates the cooperation procedure between the Lead Supervisory Authority and the other Concerned Supervisory Authorities.	[2] GDPR第60条は、主監督当局とその他の関係監督当局間の協力手続きを規定している。
Background	背景
The breach that gave rise to the DPC’s Decisions arose from the deployment of a video upload function on the Facebook platform in July 2017. Facebook’s ‘View As’ feature allowed a user to see their own Facebook page as it would be seen by another user. A user making use of this feature could invoke the video uploader in conjunction with Facebook’s ‘Happy Birthday Composer’ facility. The video uploader would then generate a fully permissioned user token that gave them full access to the Facebook profile of that other user. A user could then use that token to exploit the same combination of features on other accounts, allowing them to access multiple users’ profiles and the data accessible through them. Between 14 and 28 September 2018 unauthorised persons used scripts to exploit this vulnerability and gained the ability to log on as the account holder to approximately 29 million Facebook accounts globally, of which approximately 3 million were based in the EU/EEA. Facebook security personnel were alerted to the vulnerability by an anomalous increase in video upload activity and removed the functionality that caused the vulnerability shortly thereafter.	DPCの決定につながった違反は、2017年7月にFacebookプラットフォーム上で動画アップロード機能が展開されたことに起因する。Facebookの「View As」機能により、ユーザーは自身のFacebookページを他のユーザーから見えるように表示することが可能であった。この機能を利用するユーザーは、Facebookの「Happy Birthday Composer」機能と併用して動画アップローダーを起動することができた。すると、動画アップローダーが完全許可付きユーザートークンを生成し、他のユーザーのFacebookプロフィールへの完全アクセスが可能となった。ユーザーは、そのトークンを使用して他のアカウントでも同じ機能の組み合わせを利用することができ、複数のユーザーのプロフィールと、それらを通じてアクセス可能なデータにアクセスすることが可能となった。2018年9月14日から28日の間に、不正な人物がスクリプトを使用してこの脆弱性を悪用し、世界中で約2,900万のFacebookアカウントにアカウント保有者としてログインできるようになった。そのうち約300万はEU/EEAに拠点を置くアカウントであった。Facebookのセキュリティ担当者は、動画のアップロード活動の異常な増加により脆弱性に気づき、その後すぐに脆弱性の原因となる機能を削除した。

 

 

 

 

---

 

個人情報保護委員会のGDPR仮訳より...

● 個人情報保護委員会

・[PDF] 一般データ保護規則（GDPR）の条文

Article 25 Data protection by design and by default	第25 条 データ保護バイデザイン及びデータ保護バイデフォルト
1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects.	1. 技術水準、実装費用、取扱いの性質、範囲、過程及び目的並びに取扱いによって引きこされる自然人の権利 及び自由に対する様々な蓋然性と深刻度のリスクを考慮に入れた上で、管理者は、本規則の要件に適合するも のとし、かつ、データ主体の権利を保護するため、取扱いの方法を決定する時点及び取扱いそれ自体の時点の 両時点において、データの最小化のようなデータ保護の基本原則を効果的な態様で実装し、その取扱いの中に 必要な保護措置を統合するために設計された、仮名化のような、適切な技術的措置及び組織的措置を実装する。
2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons.	2. 管理者は、その取扱いの個々の特定の目的のために必要な個人データのみが取扱われることをデフォルトで確保するための適切な技術的措置及び組織的措置を実装する。この義務は、収集される個人データの分量、その取扱いの範囲、その記録保存期間及びアクセス可能性に適用される。とりわけ、そのような措置は、個人 データが、その個人の関与なく、不特定の自然人からアクセス可能なものとされないことをデフォルトで確保する。
3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article	3. 第42 条により承認された認証方法は、本条の第1 項及び第2 項に定める要件の充足を証明するための要素 として用いることができる。
Article 33 Notification of a personal data breach to the supervisory authority	第33 条 監督機関に対する個人データ侵害の通知
1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.	1. 個人データ侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを 発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた 時から遅くとも72 時間以内に、第55 条に従って所轄監督機関に対し、その個人データ侵害を通知しなければ ならない。監督機関に対する通知が 72 時間以内に行われない場合、その通知は、その遅延の理由を付さなけ ればならない。
2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach	2. 処理者は、個人データ侵害に気づいた後、不当な遅滞なく、管理者に対して通知しなければならない。
3. The notification referred to in paragraph 1 shall at least:	3. 第1 項で定める通知は、少なくとも、以下のとおりとする：
(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;	(a) 可能な場合、関係するデータ主体の類型及び概数、並びに、関係する個人データ記録の種類及び概数 を含め、個人データ侵害の性質を記述する；
(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;	(b) データ保護オフィサーの名前及び連絡先、又は、より多くの情報を入手することのできる他の連絡先 を連絡する；
(c) describe the likely consequences of the personal data breach;	(c) その個人データ侵害の結果として発生する可能性のある事態を記述する；
(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects	(d) 適切な場合、起こりうる悪影響を低減させるための措置を含め、その個人データ侵害に対処するため に管理者によって講じられた措置又は講ずるように提案された措置を記述する。
4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay	4. 同時に情報を提供できない場合、その範囲内において、その情報は、更なる不当な遅滞なく、その状況に応 じて提供できる。
5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article.	5. 管理者は、その個人データ侵害と関連する事実関係、その影響及び講じられた救済措置を含め、全ての個人 データ侵害を文書化しなければならない。その文書は、本条の遵守を検証するために、監督機関が利用できる ものとしなければならない。