オーストラリアのプライバシー監視機関の調査によって、Uberの個人情報が流出したことが判明した。この事件により、国境を越えた個人情報の移動に関する問題があらためて浮き彫りになった。それは何なのか。
プライバシー監視機関のオーストラリア情報委員会(OAIC:Office of the Australian Information Commissioner)によると、Uber Technologiesは適切な情報保護措置を講じておらず、保有していた情報がサイバー攻撃によって漏えいした。OAICの調査によると、不正アクセスされた恐れがある個人情報をUberが特定し終えたのは、情報漏えいの発生から1年後だった。Uberは2017年11月まで、この情報漏えいを公表しなかった。
「今回のサイバー攻撃は、海外に本社のある企業がオーストラリア国民の個人情報をグループ企業に委託する場合に、オーストラリアのプライバシー関連法の適用に関する複雑な問題を提起した」。OAICで情報コミッショナーを務めるアンジェリン・ファルク氏はそう話す。
このサイバー攻撃に関してUberは次のように主張する。「オーストラリア国民の個人情報は、外部委託契約に基づいて米国内サーバに直接転送している。オーストラリアのプライバシー関連法に従う必要はない」
Uberの米国本社とオランダ法人の両社は、同社が所有するオーストラリア国民の個人情報を、オーストラリアのプライバシー関連法に準拠した形で確実に保護する必要があるとOAICは裁定を下した。オーストラリアのプライバシー関連法下での企業責任に対するファルク氏の見解は、この決定を受けて明確になった。「オーストラリア国民が企業に個人情報を提供した場合、企業はその個人情報をオーストラリアのプライバシー関連法にのっとって確実に保護しなければならない。個人情報を海外のグループ企業に転送する場合も当てはまる」という見解だ。
OAICはUberに対して、オーストラリアのプライバシー関連法に準拠するデータ保持・廃棄ポリシー、情報セキュリティプログラム、インシデント対処計画の継続実施を義務付ける裁定を下した。Uberはこれらのポリシーやプログラムの内容、取り組みを実施したことを確認および報告する外部の専門家を選任する義務もある。UberがOAICに報告書を提出し、必要に応じて報告書が推奨する変更を加えることもOAICは要請した。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...