個人情報委、トヨタ情報漏えい事案で行政指導 「個人情報と認識していなかった」と指摘

[ITmedia]

　個人情報保護委員会は7月12日、5月に発生したトヨタ自動車における個人情報漏えいについて行政指導したと発表した。「研修が不十分だった」「個人情報として認識していなかった」「取り扱い状況を把握していなかった」などと指摘している。

　トヨタ自動車はユーザー向けサービスの個人情報の取り扱いを子会社のトヨタコネクティッドに委託していた。しかし、トヨタコネクティッドでクラウド環境の誤設定があり、約10年間にわたり外部から個人情報を閲覧できる状態になっていた。

　漏えいしたと考えられるのは、車載器のID、車台番号、車両の位置情報、更新用地図情報など230万人分。トヨタ自動車は5月、情報漏えい事案について報告した際に、これらの情報のみでは顧客の特定はできず、車両へのアクセスに使うこともできないとしていた。

ミスがあったサービス「T-Connect」

　個人情報保護委員会は「個人情報を保存するサーバのクラウド環境設定を行う従業員に対する研修内容が不十分だった」「車載器ID、車台番号、位置情報を個人情報として認識していなかった」「トヨタ自動車がクラウド環境の監査・点検をせず、個人情報の取り扱い状況を適切に把握していなかった」などの問題点を挙げている。

　トヨタ自動車に対しては、適切な従業員教育を行うこと、適切なアクセス制御を実施すること、委託先に対して適切な監督を行うことを求めた。