英国のデータ保護当局は、ホテルチェーン大手のMarriott(マリオット)の顧客3億8300万人のデータ流出で、同社に9900万ポンド(約1億2300万ドル、約134億円)の罰金を科す見込みであることを明らかにした。
マリオットは昨年、同社が買収したStarwoodの予約データベースがハックされ、暗号化されていない500万人のパスポート番号や800万のクレジットカード情報が流出したと発表していた。
調査を行なった英国の情報コミッショナーオフィス(ICO)は、「MarriottがStarwoodを買収した時に十分なデューデリジェンスを行わず、システムを確かなものにするための方策を講じるべきだった」と語った。
火曜日の声明の中で罰金の予定額を明らかにしたICOによると、このデータ流出でEUの住民3000万人が影響を受けた。
しかしMarriottは罰金が科される前に「応酬する権利を持っている」と語り、自らの立場を“強く主張する”つもりだ。
「今後争うことになるICOからのインターネット上での通知に我々は落胆している」とMarriottのCEO、Arne Sorenson氏は米国証券取引委員会への提出書類の中で述べている。「Starwoodゲスト予約データベースへの犯罪行為を含む今回の件の調査を通じて、MarriottはICOに協力してきた」。
新しいGDPRでは、ICOは企業の年間売上高の最大4%にあたる罰金を科すことができる。Marriottの2018年の売上高が約36億ドルだったことからするに、ICOの罰金はMarriottのグローバル売上高の3%に相当する。
Marriottには今回の裁定について協議する機会が与えられる、とICOは述べている。
「ICOは最終決定を下す前にMarriottや、懸念している他のデータ保護当局の陳述を慎重に検討する」と英データ保護当局は述べた。
提示された罰金は、データ流出で月曜日にBritish Airwaysに科したばかりの2億3000万ドル(約250億円)という過去最大の罰金に続くものだ。British Airwaysは顧客50万人のクレジットカードが2018年8月から9月にかけて3週間にわたってスキムされたことを認めていた。
研究者らは、Magecartという名で知られているクレジットカードを盗むグループこそが責められるべき、としている。
イメージクレジット: Getty Images
[原文へ]
(翻訳:Mizoguchi)