英国の情報コミッショナー(ICO)はGDPRの鞭をふるいながら1週間のスタートを切った。今朝、British Airways(ブリティッシュ・エアウェイズ、BA)と親会社インターナショナル・エアラインズ・グループ(IAG)に対し、オンラインで航空券をブラウズしたり予約したりした50万人に影響を及ぼした昨年のデータ流出に対して罰金1億8339万ポンド(2億3000万ドル)を科したと発表した。調査の中で、ICOはログインや支払いカード、旅行予約の詳細、そして名前や住所などの情報を含め、BAのセキュリティの甘さによりさまざまな情報が危険にさらされたことがわかったと述べていた。
罰金(2018年12月31日までの1年間のBAの総売上高の1.5%)は、ICOデータ流出をめぐって企業に科した罰金としては最高額になる(これに比べ、これまでの最高記録保持者のFacebookが昨年科せられた罰金はわずか50万ポンドだ)。
また別の観点からこの罰金は注目に値する。データ流出は組織に対する消費者の信頼が失墜するだけでなく、財政的な影響を伴うことを示している。IAGの株価はロンドンで不安定な動きをみせ、記事執筆時点で1.5%下落している。
投資家向けの声明で、IAGのトップ2人はBAを擁護し、社内調査では情報盗難にリンクするアカウントでの詐欺行為の証拠は認められなかった、と説明した(ご存知だろうが、もちろん流出したデータが必ずしも盗まれたところで使われるわけではない)。
「我々はICOから罰金が科せられたことに驚き、そして失望している」とBAの会長でCEOのCruz British(クルズ・ブリティッシュ)氏は述べた。「BAは顧客の情報を盗むという犯罪行為に素早く対応した。この情報盗難にリンクするアカウントでの詐欺行為の証拠は認められなかった。今回の件で迷惑をかけた顧客にお詫びする」。
IAGのCEOであるWillie Walsh(ウィリー・ワルシュ)氏もまた「BAは科せられた罰金に関してICOに異議を申し立てる。控訴も含め、BAの立場を力強く弁護するあらゆる手段を取るつもりだ」。
こうした種の情報流出に企業がどの程度責任を負わなければならないのかは、今後もっと明らかになってくるだろう。ICOの発表は、社会向けに罰金と調査の詳細を公開するという新たな指導の一環だ。
「人々の個人データというのは、個人のものだ」とICOのElizabeth Denham(エリザベス・デンハム)氏は発表文で述べた。「組織が紛失、ダメージ、盗難を防げなかったとき、これは不便以上のものとなる。だからこそ法律で明確にされている。個人データを任されるときは、きちんとその面倒をみなければならない。面倒をみなかった組織は、基本的なプライバシー権を保護するための適切なステップをとったか私のオフィスから精密な調査を受けることになる」。
ICOは今朝、発表文の中で罰金は今回のデータ流出の前に発効した一般データ保護規則(GDPR)違反に伴うもの、と述べている。より詳細にいうと、今回の件には、ユーザーのトラフィックを詐欺サイトに向かわせ、そこで悪意あるハッカーが顧客の情報を盗むという、BA.com上のマルウェアが含まれた。
BAは事件をICOに9月に知らせたが、データ流出は6月から始まっていたとされている。それ以降、BAは“ICOの調査に協力し、こうしたデータ流出が明るみに出て以来セキュリティ対策を向上させた”とICOは話していた。しかしこのデータ流出はもっと早くに発見されるべきで、同社にはデータ保護を速やかに実行すべき例が他にもある(BAは手痛い思いをしてようやく学んだようだ)。
IAGが今日発表した声明文からするに、BAは罰金と全体的な裁定に不服を申し立てることを選ぶようだ。
英国がEUを脱退した後、今回のような取り締まり対象ケースをめぐって欧州他国といかに連携をとるかについては多くの疑問点があるが、現在のところは欧州他国と足並みをそろえている。
ICOは今回の件では欧州のデータ保護当局の代理として監視をリードしたとする。これは、住民がBAのデータ流出で影響を受けた国の当局は、裁定が完全に決着する前に罰金を科すチャンスがあるかもしれないことを意味する。
[原文へ]
(翻訳:Mizoguchi)