この事件は2019年に遡ります。Metaは、一部のユーザーのパスワードが暗号化されずに平文で保存されていたことを発見しました。これは、欧州連合（EU）の一般データ保護規則（GDPR）に重大な違反となります。具体的には、これらのパスワードはFacebookやInstagramなどのMetaサービスの何億人ものユーザーのものでした。

DPCは、Metaによるインシデントの報告以来、調査を継続しています。調査の結果、Metaはユーザーの個人データを保護するための適切なセキュリティ対策を実施しておらず、GDPRに基づくデータ管理者としての義務に違反していると結論付けられました。

この規制では、企業に適切なセキュリティ対策を実施し、潜在的なリスクを評価して、個人データが漏洩するリスクを最小限に抑えることを義務付けています。

Metaは、この問題を2019年に発見し、直ちに是正措置を講じたと説明した。その結果、「少数」のFacebookユーザーのパスワードが、誤って同社の社内システムに読み取り可能な形式で保存されていた。

Meta社は、これらのパスワードが不正アクセスされたり、悪用されたりしたという証拠はないと述べた。また、同社は速やかに規制当局にこのインシデントを報告し、捜査を通じてDPCに協力した。

Metaのエンジニアリング、セキュリティ、プライバシー担当副社長、ペドロ・カナワティ氏は、2019年3月の声明で、同社は数億人のFacebook Liteユーザー、数千万人の他のFacebookユーザー、数万人のInstagramユーザーにこの問題について通知したと述べた。

2019年4月のアップデートでは、Metaが追加の暗号化されていないInstagramのパスワード記録を発見し、数百万人のユーザーに影響を与えたとも述べられています。

1億200万ドルの罰金は、Metaが近年、欧州の規制当局から受けてきた一連の制裁の一つに過ぎません。2023年初頭、MetaはEUのプライバシー法に違反し、個人データ追跡に基づく広告プログラムへの参加をユーザーに強制したとして、4億1400万ドルの罰金を科されました。

Metaが欧州の規制当局からこれまでに科された罰金の総額は10億ドルを超えており、その大半はプライバシーと個人情報のセキュリティ違反によるものです。これは同社に経済的損害を与えただけでなく、世界的な評判にも悪影響を及ぼしました。