2025年10月15日、英国の情報監視機関 ICO(Information Commissioner’s Office) は、アウトソーシング大手Capita社に対して1,400万ポンド(約26億円)の罰金を科しました。
Thank you for reading this post, don't forget to subscribe!同社は2023年3月に発生したサイバー攻撃により、約660万人分の個人データを流出させたことが明らかになっています。
なぜこれほどの大規模な漏えいが起きたのか?
ICOによれば、Capita社は「個人データの処理に関するセキュリティ確保を怠り、重大なリスクに晒した」と断罪されています。
実際、攻撃発覚後にはインターネット上に 未保護のデータプールが残っており、住所・パスポート画像・財務データ・犯罪歴などがダークウェブ上で流通していたとされます。
特に注目されたのは、同社が管理する年金制度に関する情報漏えいで、600以上の制度のうち325件に影響が出たとのことです。
罰金額はなぜ減額されたのか?
本来、ICOは4,500万ポンド(約84億円)の罰金を提案していましたが、最終的にCapita社が:
- サイバーセキュリティの強化
- 影響を受けた顧客への支援
- 規制当局やNCSCとの連携
などを進めたことが評価され、1,400万ポンドへと減額されました。
企業責任と教訓:「対策していた」はもはや通用しない
ICOのジョン・エドワーズ長官は、「Capitaは何百万人もの信頼を裏切った」と厳しく批判しました。また、十分なセキュリティ対策があればこの被害は防げたと断じています。
サイバーセキュリティ企業IllumioのTrevor Dearing氏は、「企業が財政的責任を問われるのは良い傾向だ」とコメントし、「被害者のデータにも価値があるという明確なメッセージになる」と述べています。
相次ぐ英国企業への攻撃
Capita事件は単独のものではありません。今年に入り、以下のような大手企業も標的となっています:
- Co-op(650万人分の顧客データ漏えい)
- Marks & Spencer
- Harrods
- Jaguar Land Rover
これを受けて、英国政府は企業に対し「紙媒体の事業継続計画(BCP)」の整備を推奨するに至っています。
まとめ:サイバー攻撃の「被害者」ではなく「責任者」に
今回のCapita事件は、単なるITトラブルではなく、重大な情報管理責任の不履行として罰金が科された初の大型ケースの1つです。
日本企業にとっても対岸の火事ではありません。以下のポイントを改めて見直すことが求められます:
- クラウドや外部委託先の情報管理リスク評価
- オフラインBCPの策定と定期見直し
- 顧客情報の保護と透明性のある報告体制
サイバーリスクが常態化する今、企業は単に「攻撃を防ぐ」のではなく、「被害が出た後の対応」まで含めた体制づくりが不可欠です。
コメント