個人情報保護委員会は、トヨタ自動車株式会社(以下「トヨタ社」という。)に対し、令和5年7月 12 日、個人情報の保護に関する法律(平成 15 年法律第57 号。以下「個人情報保護法」という。)第 147 条に基づく指導を行った。
事案の概要、本事案における個人情報保護法上の問題点及び個人情報保護法第 147 条に基づく指導の内容は以下のとおり。
1.事案の概要
トヨタ社は、関連会社であるトヨタコネクティッド株式会社(以下「TC 社」という。)に対し、車両利用者に対するサービスである T-Connect 及び G-Linkに関する個人データの取扱いを委託していたところ、TC 社のクラウド環境の誤設定に起因して両サービスのためのサーバ(以下「本件サーバ」という。)が公開状態に置かれていたことにより、T-Connect 用のサーバについては平成 25 年 11 月頃から令和5年4月頃までの間、G-Link 用のサーバについては平成 27 年2月頃から令和5年5月頃までの間、約 10 年間に渡り、両サービス利用者の車両から収集した約 230 万人分の個人データ(T-Connect 用のサーバについては車載機 ID、車台番号及び車両の位置情報等、G-Link 用のサーバについては車載機 ID、更新用地図データ及び更新用地図データの作成年月日等に関する情報)が、外部から閲覧できる状態にあり、個人データの漏えいが発生したおそれのある事態が発覚した。
2.個人情報保護法上の問題点
トヨタ社では、個人データを保存するサーバのクラウド環境設定を行う従業員に対する個人情報に関する研修内容が不十分であったため、本件サーバ内に保存された車載機 ID、車台番号及び位置情報等が個人情報として認識されておらず、適切な取扱いが行われていなかった。
また、本件サーバのクラウド環境における設定には不備があり、アクセス制御が適切に実施されていなかった点に問題があったところであるが、トヨタ社は、委託先である TC 社における個人データの取扱いについて、サーバのクラウド環境におけるアクセス制御の観点からの監査・点検を実施しておらず、TC 社における個人データの取扱状況を適切に把握していなかった。
そのため、トヨタ社では、①従業者に対し、クラウド環境設定における個人データ取扱いのルールに関する社内教育を徹底する、②クラウド設定を監視するシステムを導入し、設定状況を継続的に監視するとともに、技術的に公開設定ができないようにする、③TC 社に対して、クラウド環境設定に関する個人データの取扱い状況を定期的に監査する等の再発防止策を策定している。
3.個人情報保護法第 147 条に基づく指導(概要)
(1) 個人情報保護法第 23 条及び第 25 条並びに個人情報保護法についてのガイドライン(通則編)に基づき、下記の通り個人データの安全管理のために必要かつ適切な措置を講ずること。
- 従業者に個人データを取り扱わせるにあたって、個人データの取扱いを周知徹底するとともに適切な教育を行うこと(人的安全管理措置)。
- 本来アクセスすべきでない者が本件サーバにアクセスすることがないよう、適切なアクセス制御を実施すること(技術的安全管理措置)。
- 委託先に対して、自らが講ずべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行うこと(委託先の監督)。
(2) トヨタ社が策定した上記①②③の再発防止策を確実に実施すること。