キャセイ・パシフィックが940万人の個人情報を流出させた件で英当局は約6900万円の罰金命令

セキュリティ上の過失があったとして、キャセイ・パシフィック航空は英国のデータ監視当局から50万ポンド(約6900万円)の罰金を科された。この過失では、英国の11万1578人を含む世界の顧客940万人の個人情報を流出させた。

数カ月にわたる調査を経て、英国の情報コミッショナーオフィス(The Information Commissioner’s Office、ICO)は3月4日、同航空が2018年秋に明らかにした情報流出に適用される英国の法律として最高額となる罰金を発表した。当時キャセイ航空は「システムへの不正アクセスを2018年3月に把握した」と話した。しかしそこから情報流出を公にするまでになぜ6カ月超もかかったのかは説明しなかった。

システムの安全性確保の失敗は、名前やパスポート、ID詳細、生年月日、住所、電子メールアドレス、電話番号、旅行履歴などを含む乗客の個人情報への不正なアクセスを招くことになった。ICOは本日、「キャセイ・パシフィック航空のシステムへの最初の不正アクセスは2014年10月14日だった」と指摘した。一方で、最初の個人情報への不正アクセスは2015年2月7日だった。

「キャセイ・パシフィック航空のシステムは、インターネットと情報搾取のためにインストールされたマルウェアにつながったサーバーを介して侵入されたことが明らかになった」とICOのプレスリリースに書かれている。「パスワードで保護されていないバックアップファイル、パッチを当てていないサーバー、デベロッパーがすでにサポートしていないOSの使用、不十分なウイルス対策など「さまざまなエラー」も見つかった」とも書かれている。

キャセイ・パシフィック航空の情報流出は、英国がEUのデータ保護枠組みを取り入れようと進めている時期に起こった。EUの枠組みでは、個人情報を含むデータ流出があった場合、データ流出に気付いてから72時間以内にその国の当局に報告することをデータ管理者に求めている。

EU一般データ保護規則(GDPR)にはまた、相当な額になりうる罰金制度も設けられている。この制度では、企業のグローバル年間売上高の最大4%を科すことができる。しかし、不正アクセスの時期に基づき、ICOはキャセイ航空の情報流出を以前の英国データ保護規則に従って扱った。GDPR下ではキャセイ・パシフィック航空はより多額の罰金を科せられていたはずだ。

キャセイ航空への罰金について、ICOの調査責任者Steve Eckersley(スティーブ・エカーズリー)氏は声明文で以下のように述べた。

人々が個人情報を企業に提供するとき、いかなる害や詐欺などからも守られる、そうした情報が安全に管理されると思う。しかしこのケースではそうではなかった。

キャセイ・パシフィック航空のシステム全体で十分なセキュリティ措置が取られておらず、結果としてハッカーに簡単にアクセスを許してしまったという点でこの情報流出は由々しきものだった。我々が気付いた複数の重大な欠点は、求められているスタンダードにはるかに及ばなかった。基本的に、キャセイ航空は国家サイバーセキュリティセンターのサイバー・エッセンシャル・ガイドライン5つのうち4つを満たしていなかった。

データ保護法では、組織は適切なセキュリティ方策を講じ、コンピューターシステムに侵入しようとする試みを可能な限り難しくするための確固たるプロセスを踏まなければならない。

これまで幾度となく情報流出を詫びてきたキャセイ・パシフィック航空にコメントを求めたところ、「『データガバナンス、ネットワークセキュリティ、アクセスコントロール、教育、従業員の啓発、インシデントへの素早い対応』分野でセキュリティを高めるための取り組みを始めた」と述べた。

「過去3年間、かなりの額がITインフラとセキュリティに注がれた。こうした分野への投資は継続される」と同社は声明文で述べている。「我々はICOや他の関連当局の取り調べに緊密に協力してきた。我々の調査では、これまでに個人情報が不正に使用された証拠はないことが明らかになっている。しかしながら現在ではサイバーアタッカーの洗練度が上がっていて、我々はITセキュリティシステムに今後も投資を続け、進化させていかなければならないと認識している」と語る。「コンプライアンスと、個人情報保護への変わらぬ取り組みを示すため、関係当局に引き続き協力していく」とも付け加えた。

昨夏、ICOはブリティッシュ航空にも同様の措置を取った。こちらもセキュリティの過失で顧客50万人の情報を流出させ、キャセイ・パシフィック航空よりもかなり大きな額の罰金となった。ブリティッシュ航空の情報流出はGDPR導入後だったため、罰金はこの手のものとしては史上最多の1億8339万ポンド(約253億円)だった。この額はブリティッシュ航空の2018年の総売上高の1.5%にあたる。

画像クレジット:Getty Images

[原文へ]

(翻訳:Mizoguchi

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。