英蘭当局、Uberに計1.3億円の制裁金--2016年のデータ流出で

　Uber Technologiesが、英国とオランダの規制当局から現地時間11月27日にそれぞれ制裁金を科された。2016年にデータ流出が起きた際に、顧客データを保護できなかったことが理由だ。

　Uberに対し、英国の情報コミッショナー事務局（ICO）は38万5000ポンド（約5600万円）、オランダのデータ保護局（DPA）は60万ユーロ（約7700万円）の制裁金を科した。

　2016年10月、ハッカーらはUberのシステムに侵入し、複数の国のドライバーと乗客5700万人分の氏名やメールアドレス、運転免許証番号を盗み出した。Uberは、データを盗んだハッカーらに10万ドル（約1100万円）を支払って情報を削除させたが、そうした情報の中に米国民の社会保障番号やクレジットカード情報は含まれていなかった。

　英国とオランダの政府によると、このハッキングで影響を受けた乗客とドライバーは、英国で270万人、オランダで17万4000人にのぼるという。

　ICOの調査担当ディレクター、Steve Eckersley氏は声明の中で次のように述べた。「これはUber側のデータセキュリティにおける深刻な失態であるだけでなく、個人情報が盗まれた顧客とドライバーをまったく無視した対応でもある。当時、データ漏えいの影響を受けたいかなるユーザーに対しても通知を行ったり、ヘルプやサポートを提供したりする措置は取られなかった。そのため、被害者は攻撃を受けやすい状態に置かれた」

　このデータ漏えいは5月の一般データ保護規則（GDPR）施行より前に発生したため、両国政府による制裁金は旧規制に基づいて科された。GDPRは、一般市民が自身の個人データに対する管理を強化できる欧州連合（EU）の法律で、最大で2000万ユーロ（約26億円）または対象組織が前年に計上した全世界年間売上高の4％のうち、高額な方に相当する制裁金を科すことができる。

　Uberはハッキング発生を受けて、同社初の最高プライバシー責任者およびデータ保護責任者をそれぞれ採用したほか、新たに最高トラストおよびセキュリティ責任者も任命したとしている。