上海 | 消費者の個人情報の保護義務が不十分な有名企業を処罰
2024. 2. 29
上海 | 消費者の個人情報の保護義務が不十分な有名企業を処罰
このほど、上海市インターネット情報弁公室(上海網信弁)は消費者の個人情報保護義務を果たしていない企業を処罰する典型例を発表した。また、消費者の個人情報保護責任を効果的に履行しておらず、深刻な問題を抱えている有名企業に対して行政処罰を行った。
今回の典型例は5段階分野に及び、①「収集段階」で企業が強要により過度に個人情報を収集した問題が依然として存在し、②「保存段階」で大量の個人情報を暗号化せずに「裸」の状態で保存し、③「使用伝送過程」で企業が勝手に権限付与、権限放棄を行い管理不徹底が存在し、④「管理制度上」で企業の個人情報保護措置が明らかに欠落し、⑤「セキュリティ保護上」でネットワーク情報システムにセキュリティホールが存在する等のケースが紹介されている。その中で、ある飲食企業が配達用WeChatミニプログラムに出荷先を入力する段階で、ユーザーに正確な位置権限を開くことに同意しなければ出荷先の住所を追加できないとしたことが、消費者への非必要な個人情報の強制請求にあたるとして、網信部門により処罰されている。
検査によると、多くの企業で個人情報の使用と伝送の段階での内部統制制度が厳格ではなく、脆弱性に多くの問題がみられた。例えば、企業の内部操作権が合理的に設定されておらず、認可承認プロセスなしに、関連スタッフが携帯電話番号を含むユーザーの個人情報を流出することができ、データの悪用につながりやすい状況がある。今回処罰を受けた企業には普遍的に個人情報保護体制が不十分であるという問題があり、大部分の企業では個人情報データを分類分級管理してなく、データアクセス権限管理や安全緊急対応計画などの体制が策定されていない。一部の企業では法律に基づいて個人情報保護の責任者を特定していなく、データ資産の管理、データセキュリティ担当者の管理、データ協力パートナーの管理などの体制が構築されていなかった。
関係企業には再度、個人情報保護を重視し、法治意識を強化し、同様の問題が発生しないように内部管理と技術的な保護措置を効果的に強化いただきたい。
原文リンク:
