英国情報保護委員会事務局(Information Commissioner’s Office、以下「ICO」)は、グリニッチ大学による個人データの「重大な」セキュリティ違反に対し、12万英ポンドの制裁金を科しました。
英国ICOは、5月21日付、グリニッチ大学の制裁金について発表しました。ICOが1998年に制定されたデータ保護法に基づき大学機関に対してこのような罰則を課すのは初めてのことです。
ICOの報告書によると、この問題は2013年に始まりました。この年、グリニッチ大学のコンピューティング・数学学科が9年前に作成したマイクロサイトをウェブサーバ上で危胎化しました。その後、マイクロサイトの脆弱性に対し多数のSQLインジェクションを利用した攻撃が行われ、PHPエクスプロイトのアップロードが実行されました。この悪意ある操作によって攻撃者はウェブサーバの広範囲へのアクセスが可能になり、攻撃は職員や教授、学生、その他を含む、総勢19,500名に上る個人情報を格納するデータベースにまで及びました。
その後悪意ある攻撃者は個人データを窃取し、データをPastebinに流出させました。
一方、グリニッチ大学は、2016年の4月と5月に再度同マイクロサイトが脅かされたのを受けてその後6月に初めてこの漏洩を認識しました。
Steve Eckersley氏(ICO執行部代表)は、今回の処罰は大学側の過失に対して行われるものであり、データ主体の適切な情報保護を怠った大学の責任を追及すると述べています。
ICO声明から抜粋:
「問題となったマイクロサイトが、グリニッチ大学の知らないところで一学科により作成されたものだとしても、データ保護法は、組織が情報保護の全責任を負うと規定しています。学生や大学職員は、自分の個人情報がセキュアに保護されていることを期待する当然の権利を有し、今回の重大な情報漏洩は、深刻な惨事を招いていたかもしれません。漏洩されたデータの性質、および被害者数に鑑みて、相当する制裁金を科す決断を下しました。」
この処罰の公表を受けて、大学側も声明を発表しました。声明では、大学関係者の説明として、2016年に情報漏洩を発見して以来、大学は必要な措置を講じていること、中でも、新規セキュリティ・アーキテクチャの構築、オンサイト専門家の新規採用、そして大学システム全体の脆弱性に対し、日次のスキャン実行を開始、セキュリティ診断を脆弱性管理プログラムに組み込んだと述べています。
「これらの全ての措置をとったことでデータ保護とセキュリティ体制について先例のない大掛かりな再整備を行いました。この強化策によってステークホールダーの皆様の信頼回復に努めます。」と、大学側はコメントしています。
大学側は、ICOによる即時納付の割引提示を受けて、最終的な納付額は9万6千英ポンドになるだろうと述べています。
