SEO対策

GDPRの違反を指摘された日本企業は、そのとき何をしなければならないのか

marketing
marketing
2019/01/07 22:36

ホテル予約システムが不正にアクセスされ、32万件の個人情報が漏えい

ホテル予約システムを開発・運営する仏ファストブッキングの不正アクセス問題は、一企業に留まらず、影響が広がりそうな気配を見せています。2018年6月の報告では、同月に2度、同社のデータベースが不正にアクセスされ、宿泊者の氏名・住所・メールアドレス・クレジットカード情報・国籍・予約金額・ホテル名・宿泊日が流出されたと発表されました。日本では、401の宿泊施設で32万5717件に影響があったと判明しています。

ファストブッキング社は100か国8000件のホテルから委託を受け、年間120万の宿泊予約を処理しています。不正アクセスが発生したのは英語・韓国語・中国語による予約システムでした。遠隔からアクセスが可能になるプログラムがサーバーに設置されていたため、悪意のある攻撃により情報が不正に抜き出される被害を受けています。

被害を受けた日本企業には、プリンスホテル、藤田観光、阪急阪神ホテルズ、ホテル小田急サザンタワー等が含まれています。多い所では数万件の情報が流出してしまい、その影響は大きくなっています。クレジットカード等の情報が含まれていたため、不正利用のリスクがありました。

日本でこのニュースが注目されたのは、不正アクセスの被害を直接受けたファストブッキング社だけではなく、情報管理を委託した日本のホテルにも、責任の所在が指摘されているからです。

個人情報を収集する「管理者」には委託先である「処理者」を監督する責任がある

欧州で施行されたGDPR(欧州一般データ保護規則)では、欧州市民の個人情報を取り扱う事業者はデータ管理者(コントローラー)、その個人情報の管理を委託された業者はデータ処理者(プロセッサー)と定義されます。管理者と処理者には双方に責任が定義され、それに従わない場合、多額の制裁金が課されます。

個人情報を収集する管理者は、適切に処理者を監督する責任があります。個人情報を開示する際には、GDPR対策が適切に行われている旨を確認する監査を実施しなければなりません。特に、情報漏えいが発生した場合には72時間以内に欧州の監督官庁に報告される業務プロセスを定義しておく必要があります。

GDPRでは違反の程度に応じて罰金の額が変わります。漏えいした個人情報の性質や件数、さらに、企業でどのくらいの対策を講じていたかによって、監督官庁が判断する仕組みになっています。悪質なケースでは、2000万ユーロか、全世界での前年度売上高の4%が罰金となります。処分が軽い場合でも、1000万ユーロか、全世界での前年度売上高の2%という金額であり、企業の経営を揺るがすような制裁になっています。

情報漏えい発生時に72時間以内で欧州当局へ報告するプロセスを定義する義務がある

前述のケースでは、プリンスホテルを始めとした日本のホテルは、GDPRにおける管理者であり、ファストブッキング社が処理者に当てはまります。日本企業であっても、欧州市民の個人情報を取り扱う場合はGDPRの対象となる点に注意が必要です。

GDPR対策では、取得する個人情報について同意を得ること、データ保護の対策、情報開示や削除といった個人に与えられた権利への対応、そして、トラブル対応が主要なプロセスとなります。

データ管理を外注するような今回のケースでは、GDPR対応として、どのデータが誰に保持されているかを文書化しておく義務があります。また、情報漏えいが発生した場合、まず、第一に何の情報が何件流出したかを知り、その被害に応じて、報告の必要性を判断します。被害が大きい場合、72時間以内に欧州と自国の監督官庁に報告しなければならないので、そのプロセスをあらかじめ定義しておかなければなりません。

情報流出の被害に遭った個人に対しては、状況に応じて報告の必要性が変わってきます。データ管理者が個人情報の匿名化・暗号化といった適切な対策を施している場合や、メディアに対して広く報告している場合は、個人への直接的な報告は強制されないと考えられています。

2018年11月時点では日本のホテルへの制裁は発表されていません。引き続き、GDPRを運営する欧州当局の動向を抽出しておく必要があります。ホテル業界に限らず、欧州市民の個人情報を管理している企業は、GDPRについて学び、適切な法的アドバイスを受けた上で、対策を講じるようにしましょう。

まとめ

GDPRは欧州向けに事業を展開している日本企業にとって大きな課題となっています。ファストブッキング社の例が示すように、外注先にデータ管理を委託している場合、日本企業もGDPRの責任を指摘されかねません。データの取り扱い方や情報漏えい時の業務プロセスを見直し、GDPR対策を進める必要があります。

納品物クオリティーのアクセス解析レポートを1分で。

Google Analytics・Search Consoleから
わかりやすいPowerPoint・Excelレポートを生成

report
HOMEKOBITブログWEBマーケティングSEO対策GDPRの違反を指摘された日本企業は、そのとき何をしなければならないのか