MetaがFacebookとInstagramのパスワードを平文で保存したため9100万ユーロの罰金

アイルランドのデータ保護委員会（DPC）は、Meta Platforms Ireland Limited（MPIL）に対し、数億件のユーザーパスワードを内部で平文で保存していたため、9100万ユーロ（1億ドル）の罰金を科しました。

また、この件に関して同社に対する戒告も発出しました。

2019年3月、MetaはDPCに対し、特定のFacebookユーザーパスワードを内部システムで平文で誤って保存していたことを通知しました。つまり、暗号化保護や暗号化なしで保存されていたのです。当時、同社はこの事件を公に認めました。

「2019年1月の定期的なセキュリティレビューの一環として、一部のユーザーパスワードが内部データストレージシステム内で読み取り可能な形式で保存されていることを発見しました。これは、私たちのログインシステムがパスワードを読み取れないようにマスクする技術を使用するように設計されているため、私たちの注意を引きました」とMetaは2019年3月のニュースリリースで明らかにしました。

同社は、問題の影響を受けたユーザー数を明らかにしませんでしたが、「数億人のFacebook Liteユーザー、数千万の他のFacebookユーザー」、および「数百万のInstagramユーザー」に通知する見込みであると推定しました。

当時、Metaはパスワードが外部の第三者に提供された証拠は見つからず、内部で悪用されたり不適切にアクセスされたりしたことはないと述べました。

Metaがこの事件を公表した後、DPCは2019年4月に同社のパスワード保存慣行を調査し、MPILの欧州連合一般データ保護規則（GDPR）への準拠を評価しました。

特に、テクノロジー大手はGDPRの4つの異なる条項に違反しており、これにはDPCへの個人データ侵害の通知の失敗、ユーザーパスワードの平文での保存に関する個人データ侵害の文書化、ユーザーパスワードデータを不正な処理から保護するための適切な技術的または組織的措置の未使用、及びユーザーパスワードの継続的な機密性を確保するための適切な技術的および組織的措置の未使用が含まれます。

「ユーザーパスワードは、データにアクセスする人々から生じる悪用のリスクを考慮すると、『平文』で保存されるべきではないことは広く受け入れられています。このケースで考慮されるパスワードは特に敏感であり、ユーザーのソーシャルメディアアカウントへのアクセスを可能にするため、留意すべきです」とDPCの副委員長であるグラハム・ドイルは声明で述べました。

DPCはまた、ニュースリリースで「GDPRは、個人データを処理する際に、サービスユーザーへのリスクやデータ処理の性質などの要因を考慮して、データ管理者が適切なセキュリティ措置を実施することを要求しています。セキュリティを維持するために、データ管理者は処理に内在するリスクを評価し、それらのリスクを軽減するための措置を実施すべきです」と述べました。

上記のGDPR違反に応じて、DPCはMetaに9100万ユーロ（1億ドル）の罰金を科し、GDPR第58条第2項(b)に基づく戒告を発しました。機関は、事件に関連する完全な情報とさらなる情報を適時に公開する予定です。

DPCの罰金に反応して、MetaはAP通信と共有した声明で「このエラーを修正するために即座に行動を取りました。これらのパスワードが悪用されたり不適切にアクセスされた証拠はありません。この問題を私たちの主要な規制当局であるアイルランドデータ保護委員会に積極的に報告し、この調査を通じて彼らと建設的に関与してきました」と述べました。