英国のデータ保護監督機関である情報コミッショナーオフィス(ICO)は、ヒースロー空港(HAL)に、2017年に発生したデータセキュリティインシデントに関して12万英ポンドの罰金の支払いを科しました。
10月8日、ICOは1998年データ保護法(DPA)のセクション55Aの違反に対する罰金刑処分を言い渡しました。
ICOは、個人情報保護法違反者に対し最高50万ポンドの罰金刑処分を執行する権限を与えられています。この特殊法人的な組織は、かつてEquifax社に対して、これまでの最高額となる罰金を科しています。このときのインシデントでは、約1億5,000万人の米国人の個人情報と、1,500万人の英国国民のデータが攻撃者によって侵害されました。
HALのケースでは、ICOはHALがDPAの第7データ保護原則に違反したことを挙げています。これは、個人データの不正な処理、流出、または破壊を防止するための対策を講じることを企業に義務付けるものです。ICOは、ヒースロー空港では、個人が個人情報をUSBドライブのような暗号化されていないメディアにダウンロードするのを防ぐための適切な技術的対策が取られていなかったことを発見しました。ICOは、このような不備のために、ある従業員が76のフォルダと1,000以上のファイルを含む2.5GBにおよぶHALのデータを、暗号化やパスワードによる保護なしで保存することが可能になったと発表しています。この従業員は、その後このデバイスを紛失しましたが、後日誰かが2017年10月にウエストロンドンのクイーンズパーク内のイルバートストリートでこれを発見しています。
さらに、ICOは、HALにはどの従業員がデータ保護のトレーニングを受けるべきかを決定したり、理解度を確認したりするための文書化されたプロセスが欠如していることを指摘しました。
このインシデントの発生を知ったHALは、警察当局に報告し、第三者機関のスペシャリストと共に問題の封じ込めを図りました。
ICOの調査部門ディレクターSteve Eckersley氏は、HALの罰金処分は今日の組織のデータ保護の現実を反映していると語っています。
データ保護は、ヒースロー空港の課題の中で優先的に扱われるべきものでした。しかし、私たちの調査では、同社が企業基準、訓練、ビジョンの面で不十分であったことが明らかになりました。データ保護は役員会レベルの問題であり、企業が受託した個人情報を保護すべく脆弱性を最小限に抑えるためのポリシー、手順、およびトレーニングを確立することが不可欠です。
侵害されたデータに基づいて、ICOはこのインシデントを(2018年のデータ保護法ではなく)1998年のデータ保護法の下で調査しました。
