フランスのデータ保護規制当局である CNIL( La Commission Nationale de l'Informatique et des Libertés:情報処理・自由全国委員会)は本日(編集部註:2026 年 1 月 14 日)、情報漏えいに起因する GDPR 違反を理由に、フランスの電気通信事業者 2 社に対して総額 4,200 万ユーロ(約 73 億円)の制裁金を科したと発表した。
Free と Free Mobile は、それぞれ固定回線サービスとモバイルサービスを監督する別々の事業体であり、いずれもフランスの通信事業者イリアド・グループが所有している。今回の制裁金は、2024 年 10 月に発生した漏えい事案に関連するもので、この事案では 2,400 万人以上の個人データが侵害され、IBAN(国際銀行口座番号)などの金融情報も含まれていた。
CNIL の判断によると、攻撃は 2024 年 9 月 28 日に開始され、両社が侵入の事実を知ったのは 10 月 21 日、攻撃者本人からのメッセージを通じてだった。Free は翌日、攻撃者を同社のシステムから排除した。
攻撃者は Free の VPN を経由して同社のネットワークにアクセスした後、Free Mobile の契約者管理ツール「MOBO」に接続した。攻撃者がアクセスしたのは Free Mobile のアプリケーションである MOBO のみだったが、当時、MOBO はサービスの契約者であれば、Free と Free Mobile の両方の顧客に属するデータ( IBAN を含む)を検索できる仕様になっていた。
