トヨタ、約230万人分の個人情報漏洩の可能性について個人情報保護委員会から指導 再発防止策を報告

　トヨタ自動車は7月12日、同社の「T-Connect」「G-Link」サービス利用者の車両から収集した約230万人分の個人データが、約10年間に渡り外部から閲覧できる状態にあり、個人データの漏えいが発生したおそれのある事態が発覚したことについて、同日に個人情報保護委員会から指導を受け、再発防止策を公表した。

　同件は、トヨタ自動車が関連会社であるトヨタコネクティッド（以下：TC）に対し、車両利用者に対するサービスである T-Connect 及び G-Linkに関する個人データの取扱いを委託していたところ、TCのクラウド環境の誤設定に起因して両サービスのためのサーバ（以下「本件サーバ」）が公開状態に置かれていたことにより、T-Connect用のサーバについては2013年11月ごろから2023年4月ごろまでの間、G-Link用のサーバについては2015年2月ごろから2023年5月ごろまでの間、約10年間に渡って両サービス利用者の車両から収集した約230万人分の個人データ（T-Connect 用のサーバについては車載機 ID、車台番号及び車両の位置情報等、G-Link 用のサーバについては車載機 ID、更新用地図データ及び更新用地図データの作成年月日等に関する情報）が外部から閲覧できる状態にあり、個人データの漏えいが発生したおそれのある事態が発覚した。

　同件の発生原因としては、同件でのクラウド誤設定は、担当者が誤認識によりクラウドサーバーを公開に設定したこと、及び既に公開設定状態にあったクラウドサーバーに個人情報を格納してしまっていたことにより発生。トヨタ自動車は原因調査を実施し、これらの発生事象は、「技術的安全管理措置における問題」「人的安全管理措置における問題」「トヨタによる委託先管理における問題」の3点の問題により引き起こされたものと結論づけた。

　トヨタ自動車では、再発防止策として①従業者に対し、クラウド環境設定における個人データ取扱いのルールに関する社内教育を徹底する、②クラウド設定を監視するシステムを導入し、設定状況を継続的に監視するとともに、技術的に公開設定ができないようにする、③TCに対して、クラウド環境設定に関する個人データの取扱い状況を定期的に監査する等の再発防止策を策定。

　あわせて、継続的な取り組みとしてトヨタ自動車の保有するクラウドサーバーについて同様の事案がないかを継続的に確認し、問題や問題につながる可能性のある状況が発見された場合には、適切に対応。また、同様の取り組みを、トヨタ子会社、関連会社等にも共有し、各社で点検を実施していくとしている。

　個人情報保護委員会からの指導としては、個人情報保護法第23条及び第25条並びに個人情報保護法についてのガイドライン（通則編）に基づき、下記の通り個人データの安全管理のために必要かつ適切な措置を講ずること。また、トヨタが策定した再発防止策を確実に実施することが指導された。

・ 従業者に個人データを取り扱わせるにあたって、個人データの取扱いを周知徹底するとともに適切な教育を行うこと（人的安全管理措置）。
・ 本来アクセスすべきでない者が本件サーバにアクセスすることがないよう、適切なアクセス制御を実施すること（技術的安全管理措置）。
・ 委託先に対して、自らが講ずべき安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行うこと（委託先の監督）。