『トヨタに行政指導』
7月12日、個人情報保護委員会はトヨタ自動車株式会社に対し個人情報の保護に関する法律第147条に基づく指導を行った。
トヨタ社は関連会社であるトヨタコネクティッド株式会社に車両利用者に対するサービスであるT-Connect及びG-Linkに関する個人データの取り扱いを委託していたところ、トヨタコネクティッドのクラウド環境の誤設定により両サービスのためのサーバーが公開状態に置かれていた。平成25年11月から令和5年5月までの約10年間に渡りサービス利用者の車両から収集した約230万人分の個人データが外部から閲覧できる状態にあり、個人データの漏えいが発生したおそれがある事が発覚した。
トヨタ社は、クラウド環境設定を行う従業員に対する研修内容が不十分であったため適切な取り扱いが行われていなかったとした。また、本件サーバーのクラウド環境の監査・点検を実施しておらずトヨタコネクティッドにおける個人データの取り扱い状況を適切に把握していなかった。
トヨタ社は①社内教育の徹底、②クラウド環境を監視するシステムの導入、③個人データの取り扱い状況を定期的に監査するなどの再発防止策を策定している。
個人情報の管理は自社だけでなはく委託先や取引先の状況を把握しておくことも重要である。
企業間の取り引きにおいてサイバー保険の契約を求めることも増えてきている。
