画像:個人情報保護委員会より引用
個人情報保護委員会は2023年7月12日、トヨタ自動車株式会社の関連会社トヨタコネクティッド株式会社(TC社)にて発生した車両情報漏えい問題について、個人情報保護法に基づき適切な措置を講じるよう行政指導しました。
問題となっているのはT-Connect 及びG-LinkなどTC社のクラウドサービスの情報管理体制です。対象サービスはクラウドベースで運用され2012年1月2日~2023年4月17日にかけ、車両から収集した情報を保存・管理していましたが、2013年11月6日~2023年4月17日にかけ誤設定が発生。TC社が管理委託している顧客データ200万件超が外部閲覧可能な状態にあったことがわかっています。
トヨタ社は一連の事案について2023年5月に明らかにしています。
行政指導は同事案を対象にしたもので、委員会はクラウド環境におけるアクセス制御ミスが問題を引き起こしたこと、TC社に対する適切な監督が行われていなかったこと、従業員に教育が不十分であったことなどを指摘。再発防止のために必要な措置を講じるよう求めました。トヨタ社すでに設定監視システムやTC社への監査など再発防止策を公表しており、実施するものと見られます。
参照トヨタ自動車株式会社による個人データの漏えい等事案に対する個人情報の保護に関する法律に基づく行政上の対応について/個人情報保護委員会