Uberの情報漏えい事件が浮き彫りにした「越境プライバシー」問題の重要性：Uberが個人情報の取り扱いで犯したミス【後編】

オーストラリアのプライバシー監視機関の調査によって、Uberの個人情報が流出したことが判明した。この事件により、国境を越えた個人情報の移動に関する問題があらためて浮き彫りになった。それは何なのか。

[Aaron Tan，TechTarget]

　プライバシー監視機関のオーストラリア情報委員会（OAIC：Office of the Australian Information Commissioner）によると、Uber Technologiesは適切な情報保護措置を講じておらず、保有していた情報がサイバー攻撃によって漏えいした。OAICの調査によると、不正アクセスされた恐れがある個人情報をUberが特定し終えたのは、情報漏えいの発生から1年後だった。Uberは2017年11月まで、この情報漏えいを公表しなかった。

併せて読みたいお薦め記事

さまざまな情報漏えい

• Uber、大丈夫？ 5万人の情報漏えいで流出元の特定を急ぐ
• ベゾス氏やオバマ氏のTwitterアカウントを悪用　英国人男性が逮捕
• ザッカーバーグCEOの「Facebookはプライバシーを重視」の約束は守られたのか

Uber情報漏えいで再考する「越境プライバシー」の重要性

　「今回のサイバー攻撃は、海外に本社のある企業がオーストラリア国民の個人情報をグループ企業に委託する場合に、オーストラリアのプライバシー関連法の適用に関する複雑な問題を提起した」。OAICで情報コミッショナーを務めるアンジェリン・ファルク氏はそう話す。

　このサイバー攻撃に関してUberは次のように主張する。「オーストラリア国民の個人情報は、外部委託契約に基づいて米国内サーバに直接転送している。オーストラリアのプライバシー関連法に従う必要はない」

　Uberの米国本社とオランダ法人の両社は、同社が所有するオーストラリア国民の個人情報を、オーストラリアのプライバシー関連法に準拠した形で確実に保護する必要があるとOAICは裁定を下した。オーストラリアのプライバシー関連法下での企業責任に対するファルク氏の見解は、この決定を受けて明確になった。「オーストラリア国民が企業に個人情報を提供した場合、企業はその個人情報をオーストラリアのプライバシー関連法にのっとって確実に保護しなければならない。個人情報を海外のグループ企業に転送する場合も当てはまる」という見解だ。

　OAICはUberに対して、オーストラリアのプライバシー関連法に準拠するデータ保持・廃棄ポリシー、情報セキュリティプログラム、インシデント対処計画の継続実施を義務付ける裁定を下した。Uberはこれらのポリシーやプログラムの内容、取り組みを実施したことを確認および報告する外部の専門家を選任する義務もある。UberがOAICに報告書を提出し、必要に応じて報告書が推奨する変更を加えることもOAICは要請した。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。