GDPR違反事例集と必要なWebサイト運用の考察

2018年5月のGDPR施行から早1年半が経過し、続々とGDPR違反として制裁金を課されるケースが出ている。今回はその中でも注目を集めた個人データの漏洩事件とCookieの運用方法を問われた2つの判例を紹介し、自社のWebサイトにおいて必要なセキュリティ対策やCookie運用のあり方について考察したい。

ブリティッシュ・エアウェイズ社の顧客情報流出事件

2018年9月に報告されたブリティッシュ・エアウェイズ社のケースでは、サイバー犯罪集団「Magecart」によって、同社のWebサイトがスキミング被害に合い、約50万人の顧客情報(ユーザー名、パスワード、クレジットカード詳細、名前、住所など)が漏洩したとされている。

これに対し、2019年7月にイギリスの個人情報保護当局の Information Commissioner Office (ICO)が日本円にして約250億円もの制裁金を検討していることが公表されている。まだ最終確定ではないが、これが決定されるとGDPR施行以来の最大規模の制裁金となる。

Webスキミング(フォームジャッキング等とも呼ばれる)は比較的新しいタイプのJavascript利用型の攻撃であり、サイト管理者側でサーバーのセキュリティ対策が取られていても、クライアントサイドのブラウザでやり取りされるデータのセキュリティ対応まで追いついていないのが現状である。こうした背景もあり、特にECサイトを運営する企業にとっては、法規制への対応だけでなく今後どのように対策を講じるべきか、セキュリティ面の課題を浮き彫りにした事件としても話題になった。

(※参考) https://www.wired.co.uk/article/british-airways-data-breach-gdpr-fine 

(※出典) https://www.dailymail.co.uk/news/article-7455611/British-Airways-tries-limit-3billion-payout-data-breach.html

ブエリング航空社はサイト上のCookie運用管理を問われた

2019年10月には、ブエリング航空社でWebサイトに掲載されているポリシー内容と実際にサイト訪問者が行える設定に乖離がある点が問題視され3万ユーロ(※日本円で約360万超)の制裁金が課されている。(※のちに制裁金は減額が認められている。)

ブエリング航空社のWebサイトにアクセスすると、ポリシー上はCookie利用のオプトイン・オプトアウトの選択ができるとしながら、実際に表示されるCookie利用通知のバナーには「Agree & continue browsing」のボタンしか用意されず、オプトアウト方法は事実上ブラウザでの設定に委ねられている。

(※参考:Vueling 社のCookie Policy)

https://www.vueling.com/en/customer-services/cookie-policy 

スペインのデータ保護機関(AEPD)は、ブエリング航空社が提供していたバナーに同意の詳細な設定やオプトアウトの手段が用意されていない点を問題視している。つまり、企業側の後ろ向きなスタンスにはNGを出した、と言えるだろう。後ろ向きなスタンスとは、ユーザーがオプトアウトしたい時に、ユーザー自身でわざわざブラウザの設定でオプトアウトする方法しかない(企業側が用意しない)という姿勢である。 そのため、オプトインしか出来ない状態は、Cookie Policyの記載内容に沿って、サイト訪問者側で細かい同意の設定や同意しない選択を実現できているとは言わないと結論づけている。

この判例は、あくまでポリシーと実運用との乖離を問われたケースであるものの、オプトアウト手段をブラウザ設定に委ね、「Agree & continue browsing」のボタンしか用意しない手法に疑義を呈する内容ともいえる。

現在、非常に多くのサイトが、「Agree & continue browsing」のボタンのみのバナーを用意し、Cookieの同意管理を行っている(と言い張っている)のが実情であり、今後は、オプトインだけでなく明示的なオプトアウト手段を用意することや、オプトインも一括ではなくCookieのカテゴリごとに設置することが最低限求められるようになる日が遠からず訪れるかもしれない。

(※参考)

https://edpb.europa.eu/news/national-news/2019/spanish-data-protection-authority-fined-company-vueling-cookie-policy-used_en 

もう1点、みなし同意によるCookieの同意取得方法に関して、最近になって興味深い判例が出ている。 ドイツのオンラインゲーム企業であるPlanet49社が、オンラインゲームに参加するユーザーの情報端末にCookieを保存する際、予めチェックが入ったチェックボックスを用意して同意取得を行っていた。

これに対し、ドイツ連邦裁判所が欧州司法裁判所に法の解釈を求めたところ、欧州司法裁判所は、この方法ではeプライバシー指令が求める同意取得の要件を満たさないとする判決を2019年10月に下している。 GDPRでもみなし同意は同意取得方法として認められない旨規定されているが、裁判でこうした判決が下されたことで、同意取得要件の厳格化が今後もよりいっそう高まることが予想される。

(※参考)

具体的なGDPR違反事例が出始めてきており、対策を講じることが急務になる可能性

今回は話題のGDPR違反事例として、ブリティッシュ・エアウェイズ社とブエリング航空社の2つの判例をご紹介した。それぞれセキュリティの観点、個人情報利用時の同意取得の観点と中身は異なるが、今後のプライバシー保護法規制への対応を考える上でどちらも避けては通れないテーマである。

特に近年、ECサイト上で、悪意あるJavaScriptを作動させ、顧客が入力したクレジットカード情報を攻撃者のサーバーに送信するサイバー攻撃が増えてきている。それらは3rd PartyのJavascriptタグ、ブラウザの拡張機能等によってもたらされるため、防御が簡単ではなく企業側での対策が難しいと言われるものの、一度データ漏洩等のインシデントが発生すると企業側の責任が追及され、当局により厳格な措置が取られる傾向が強まっている。

一方、Cookieの同意取得管理についても、徐々に取締りが強化されてきており、ポリシーの整備、明示的な同意に基づくコントロールの実施、ゼロクッキーロードの実装等、これまで以上に一歩踏み込んだ対応が企業側に求められるようになってきているといえるだろう。

あわせて読みたい記事