英国で個人情報の保護を管轄する政府機関 Information Commissioner's Office (ICO) が、ソニーのゲーム部門 Sony Computer Entertainment Europe (SCEE) に対して、個人情報を扱う企業の義務を定めた データ保護法 (Data Protection Act ) の深刻な違反があったとして、25万ポンド (約3500万円)の罰金支払いを命じました。

問題は2011年4月に発生した、いわゆる PSN不正アクセス事件について。ゲームの PlayStation Network (PSN)と、ネットワーク基盤を共有する Qriocity (現 Sony Entertainment Network, Music Unlimited等)、およびPC向けのオンラインゲームを扱う Sony Online Entertainment のサーバに対して、今も判明していない何者かが侵入し、計1億件に上るユーザー情報 (住所氏名性別メールアドレス生年月日やパスワード等)にアクセスし、外部送信していた事件です。(関連記事はタグ: PSN Hack で一覧できます)。

英国の Data Protection Act は、個人情報を扱う企業に対して妥当なセキュリティの維持に努めるなど適切な取り扱いを義務づけています。今回 25万ポンドという比較的高額の罰金支払い命令に至った理由は、当局の調査の結果、ソニーの取り組みが十分であれば事件を防げたと判断されたため。

PSNへの侵入事件は外部からアプリケーションサーバに不正なプロセスを埋め込み、ユーザー情報を含むデータベースへアクセスし、外部へ送信したうえでログを消去しサーバを再起動するという、不正アクセス事件としてこれ以上は考えられない「完敗」に近いものでした。


犯人が高度な専門知識と明確な犯行意図を持っていたことは疑いがありませんが、そもそも侵入を許した原因であるサーバの脆弱性については、ソニーがみずから発表したように既知のものであり、適切なアップデートとパッチあてをしていれば塞ぐことができるものだったとされています。(2011年5月1日の記者会見での回答によれば「世の中では知られていたが、SNEIのサーバ担当は知らなかった」。SNEI は実際にサーバを運用していた米国子会社 Sony Network Entertainment Internationalのこと。)

英国 ICO はこのように「ソフトウェアが古いままでなければ防げた」こと、パスワードの保護も不十分だったこと、また担当のSNEIは情報管理責任者の CIO が存在せず、既知の脆弱性情報に対応する組織が不十分であったこと、さらにソニーには膨大な個人情報を預かる重い責任があり、企業規模からしても適切なセキュリティ手段を講じるリソースがあったことなどから、25万ポンドの罰金に相当すると判断しています。

ICOを指揮するコミッショナー代理 David Smith 氏のコメントは:

「これほど多くの支払いカード情報やログイン情報を管理する責任があるなら、個人情報の保護は優先事項であるべきだ。しかし今回の事件ではそうなっていなかった。またデータベースが狙われた際、周到な犯罪意図をもった攻撃だったとはいえ、セキュリティ手段はまったく不十分だった」

なおソニーの個人情報保護への取り組みについては、2011年5月27日の時点で日本の経産省も行政指導を行っています。任意の事情聴取と個人情報保護法に基づく報告徴収の結果、指導に至った理由は、個人情報管理を委託した SNEI への適切な監督がなかったこと。

(1.委託先のSNEIにはCIOなどの情報セキュリティに関する専門的な責任者がおらず、また、異常発生時における報告連絡体制に係る規程等の整備がされていないなど、組織的安全管理体制に不備があったこと。


2.SNEIにおいては、ネットワークの利用をビジネスの中心とし、かつ、7,700万件もの個人情報を保持していながら、公知の脆弱性について自社で確認する体制が整えられておらず、技術的安全管理体制に不備があ
ったこと。
3.SCEとSNEIとの間には、安全管理措置を遵守させるために必要な委託契約が締結されていないなど、個人情報の取扱状況を直接かつ適切に監督する体制が整えられていなかったこと。)


下は英国 ICO が公開した、コミッショナー代理によるコメント動画。


なお、SCEEに Engadget がメールでコメントを求めたところ、ソニーは今回の罰金支払い命令に対して、「盗まれた個人情報が詐欺の目的で使われたとは考えにくい」ことから不服を申し立てると回答しています。