CNIL(個人情報保護機関)は1月29日、フランス・トラバイユ(ハローワーク)に対して、個人情報漏洩の件で500万ユーロの罰金処分を下したことを明らかにした。処分は22日付でフランス・トラバイユに通知された。
個人情報漏洩事件は2024年3月に発生。当時に失業者として登録していた人と、過去20年間に登録していた人の多くが被害を受けた。氏名、社会保障番号、アカウントID、電子メールアドレス、住所、電話番号が漏洩。3680万人分の個人情報が流出する空前の規模の事件となった。
犯人は、フランス・トラバイユの契約先で、失業者のサポートなどを行うCap Emploi社を経由して、フランス・トラバイユのデータベースにアクセスした。同社の職員用アカウントに侵入し、ここを入口にデータを盗んだ。Cap Emploiの職員に与えられていた接続の権限が不必要に大きく、これが被害を大きくした。また、アカウントのパスワード入力における制限も、50回までエラー可能と極めて緩く、セキュリティ上の問題が大きかった。CNILは、既知のリスクに対する対処が明らかに不十分であり、フランス・トラバイユは、なすべき対処法を知りながらその実行を怠ったと認定し、欧州連合(EU)の一般データ保護規則(GDPR)違反を理由に、厳しい罰金処分を言い渡した。また、Cap Emploiの職員に認めるアクセス権限に制限をかけるよう命令。1ヵ月以内に履行されない場合には、1日につき5000ユーロの違約金を課すことも決めた。
フランス・トラバイユはこの処分を受け入れたが、二重認証を2年近く前に導入するなど必要な是正措置は導入済みであり、特に厳しい処分だと受け止めているとコメントした。