オーストラリアのプライバシー監視機関の調査によって、Uberの個人情報が流出したことが判明した。この事件により、国境を越えた個人情報の移動に関する問題があらためて浮き彫りになった。それは何なのか。
プライバシー監視機関のオーストラリア情報委員会(OAIC:Office of the Australian Information Commissioner)によると、Uber Technologiesは適切な情報保護措置を講じておらず、保有していた情報がサイバー攻撃によって漏えいした。OAICの調査によると、不正アクセスされた恐れがある個人情報をUberが特定し終えたのは、情報漏えいの発生から1年後だった。Uberは2017年11月まで、この情報漏えいを公表しなかった。
「今回のサイバー攻撃は、海外に本社のある企業がオーストラリア国民の個人情報をグループ企業に委託する場合に、オーストラリアのプライバシー関連法の適用に関する複雑な問題を提起した」。OAICで情報コミッショナーを務めるアンジェリン・ファルク氏はそう話す。
このサイバー攻撃に関してUberは次のように主張する。「オーストラリア国民の個人情報は、外部委託契約に基づいて米国内サーバに直接転送している。オーストラリアのプライバシー関連法に従う必要はない」
Uberの米国本社とオランダ法人の両社は、同社が所有するオーストラリア国民の個人情報を、オーストラリアのプライバシー関連法に準拠した形で確実に保護する必要があるとOAICは裁定を下した。オーストラリアのプライバシー関連法下での企業責任に対するファルク氏の見解は、この決定を受けて明確になった。「オーストラリア国民が企業に個人情報を提供した場合、企業はその個人情報をオーストラリアのプライバシー関連法にのっとって確実に保護しなければならない。個人情報を海外のグループ企業に転送する場合も当てはまる」という見解だ。
OAICはUberに対して、オーストラリアのプライバシー関連法に準拠するデータ保持・廃棄ポリシー、情報セキュリティプログラム、インシデント対処計画の継続実施を義務付ける裁定を下した。Uberはこれらのポリシーやプログラムの内容、取り組みを実施したことを確認および報告する外部の専門家を選任する義務もある。UberがOAICに報告書を提出し、必要に応じて報告書が推奨する変更を加えることもOAICは要請した。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
スマホ時間の奪い合い「利用者増えても、利用時間は減少」 唯一の勝者は?
データマーケティング支援のGlossomは、「スマートフォンでのメディアとコマースの利用に...
生成AI時代のコンテンツ制作の課題 アドビが考える解決法は?
求められる顧客体験はますます高度になる一方で、マーケターのリソースは逼迫している。...
「イカゲーム」とコラボ ジョニーウォーカーが黒ラベルを“緑”に もしかして、これって……?
世界的な大ヒットとなったNetflixオリジナルドラマ「イカゲーム」のシーズン2公開が近づ...