英国の企業史上最大のデータ漏えいの1つが、規制当局によって大々的にではなく尻すぼみで幕が閉じられた。英国時間10月16日、英国の情報保護当局であるInformation Commissioner’s Office(ICO、情報コミッショナー事務局)はBritish Airways(BA、ブリテッィシュ・エアウェイズ)に対しデータ侵害(ICOリリース)にともなう個人情報漏洩に関して2000万ポンド(約27億円)の罰金を科したと発表した。同社は2カ月間にわたりサイバー攻撃を受けた後(未訳記事)、40万人以上の顧客の個人情報が漏洩した件で、サイバー攻撃を検出し防ぐためのセキュリティが十分ではなかったとされた。当初、BAに対し1億8400万ポンド(約252億円)近くの制裁金を科す予定だったが減額した。新型コロナウイルスの結果、BAが(他の航空会社と同様に)経済的な影響を受けていること、BAが問題に対処してきたこと、ICOがさらなる調査で攻撃の性質について知見を深めたことが理由だ。
制裁金の規模は縮小されたものの、ICOは当初の結論を固持した。
「人々は自分の個人情報をBAに託しましたが、BAはその詳細を安全に保つために適切な措置を講じることができませんでした」とICOのElizabeth Denham(エリザベス・デナム)氏は声明で述べた。「同社行動の失敗は容認できません。何十万人もの人々に影響を及ぼし、結果として不安や苦痛を与えた可能性があります。そのため、これまでで最大の2000万ポンド(約27億円)の制裁金をBAに科しました。組織が人々の個人データに関して不適切な判断をすると、人々の生活に大きな影響を与える可能性があります。法は現在、最新のセキュリティへの投資を含め、企業がデータに関してより良い意思決定を行うことを促すためのツールを提供しています」。
BAは声明の中で回答し、調査に従ったこと、制裁金軽減を認識したことを指摘した。
「2018年にシステムへの攻撃犯罪を認識後ただちに顧客に警告しましたが、顧客の期待を下回ったことを残念に思います」と広報担当者はTechCrunchに語った。「攻撃以来システムのセキュリティが大幅に改善されたこと、調査に全面的に協力したことをICOが認識していることを嬉しく思います」。
TechCrunchの理解によると、ICOが攻撃につながった事象を分解した結果、BAの責任は当初よりも小さいと認定したため、約1億5000万ポンド(約206億円)が削減された。BAの対応に基づきさらに600万ポンド(約8億円)が減額され、新型コロナウイルスのパンデミックがBAの事業に与えた影響を反映して、ICOの新型コロナポリシーの一環としてさらに400万ポンド(約5億円)が差し引かれた。
この減額は、新型コロナのパンデミックが規制に与える影響を象徴している。規制当局は事業の成長に影響が出る可能性のある問題を迅速に処理するため、場合によっては事案への対応をスピードアップし(未訳記事)、eスクーターのケースのように事業活動にゴーサインを出すために従前の判断留保を脇に置くことがある。
しかしBAに対する制裁金の場合、新型コロナの影響の別の側面が浮き彫りになった。規制当局は問題となった会社がすでに苦しんでいる場合、制裁金に関してそれほど厳しくない方針を選択した。これにより影響額が変わる可能性があり、将来セキュリティとデータ保護を怠ったと判断されるケースでの規制当局の対応の先例となる可能性がある。
1億8400万ポンド(約252億円)の制裁金を科すという当初の提案は2019年に設定されたもので、2018年のBAの売上高の1.5%だった。もちろんそれは新型コロナのパンデミック発生前、すなわち世界中で旅行がなくなり、多くの航空会社が膝をついてしまう前の話だ。皮肉なことに、当初の命令には多くの古典的な官僚的形式主義が適用されていた。このケースでは、BAの主張に耳を傾けたことに加え、現在の市場における会社の状態に対する評価も含まれていたため、BAに有利に働いた。
「ICOは2019年6月、制裁金の意向通知をBAに発行しました」とICOは制裁金の減額に関する声明の中で述べた。「ICOは規制プロセスの一環として、最終的に制裁金を決める前に、BAからの表明と新型コロナの事業への経済的影響の両方を考慮しました」。
制裁金は小さくなったものの、調査結果の中の重要な事実は同じだった。ICOの判断は、BAには当時利用可能だったセキュリティシステム(手順とソフトウェア)で防ぐことができた「セキュリティの弱点」があるというものだった。
その結果、「名前、住所、クレジットカード番号、BAの24万4000人の顧客のCVV番号(クレジットカードのセキュリティコード)」など、42万9612人の顧客とスタッフのデータが漏洩したとICOは述べた。顧客のカードとCVVの両方が漏洩したのは7万7000人で、カード番号のみの顧客は10万8000人だと付け加えた。BAの従業員アカウントと管理者アカウントのユーザー名とパスワード、また最大612件のBAエグゼクティブクラブアカウントのユーザー名とPIN(暗証番号)も含まれていた(最後の2つは完全には検証されていないが、そのようだ)。
その上、BA自身が攻撃を検出したわけではなく第三者から侵害について知らされたとBAは述べた。
ICOは、同局の措置がEUの他の情報保護当局によって承認されたと述べた。英国がまだEU内にいる間に攻撃が発生したため、調査はEU当局に代わってICOによって実施されたということだ。
BAの側ではシステムセキュリティへの再投資に取り組んでいる。同社は巨大な統合によって形成されたInternational Airlines Group(インターナショナル・エアラインズ・グループ)の一員であり、他にはIberia(イベリア航空)、Aer Lingus(エアリンガス)、Vueling(ブエリング航空)、その他のブランドやオペレーターも含まれている。また同社は「懸念を持つ顧客」に対し12カ月のクレジットチェックや管理サービスが使えるメンバーシップを提供した。
近年、旅行およびホスピタリティーセクターで、影響が他の航空会社にとどまらないデータ侵害が数多くあった。例えば、easyJet(イージージェット)の件では900万件の記録(未訳記事)が2020年5月に影響を受けた。Cathay Pacific(キャセイパシフィック)航空は世界中で950万人の顧客に影響を与えた侵害(英国では約11万1000人)で2020年初めにわずか50万ポンド(約6850万円)の制裁金を科された。ホテルで最大のものはMarriott(マリオット)へのフィッシング攻撃(未訳記事)で、約5億人に影響を与えたと推定されている。
関連記事
・顧客50万人の情報流出でブリティッシュ・エアウェイズに250億円の罰金
・キャセイ・パシフィックが940万人の個人情報を流出させた件で英当局が約6900万円の罰金命令
カテゴリー:セキュリティ
タグ:British Airways、新型コロナウイルス、ICO
画像クレジット:Getty Images
[原文へ]
(翻訳:Mizoguchi)
