大手航空会社が「GDPR」違反で約240億円の罰金 制裁は正当かBritish Airwaysで何が起こっていたのか

British Airwaysは、大規模な顧客情報流出に対してGDPRの制裁を受け、1億8339万ポンドの罰金が科せられる可能性がある。攻撃の詳細は明らかになっておらず、制裁の正当性について専門家は疑問を呈する。

2019年08月07日 05時00分 公開
[Michael HellerTechTarget]
ICO 英情報保護当局の情報コミッショナー事務局(ICO)による発表(同:ICOのWebサイト)

 航空会社のBritish Airwaysが約50万人の顧客の個人情報を流出させたセキュリティインシデントは、欧州連合(EU)の一般データ保護規則(GDPR)において記録的高額の違反制裁金を科されることになりそうだ。

 英国情報保護当局の情報コミッショナー事務局(ICO)は、2018年夏に発生したセキュリティインシデントに対し、British Airwaysに1億8339万ポンド(約240億円)の制裁金を課す意向を2019年7月8日(現地時間)に発表した。

 セキュリティ企業RiskIQの脅威研究者ヨナタン・クレインスマ氏による2018年9月の報告書によると、攻撃者らはBritish AirwaysのWebサイトとモバイルアプリケーションの両方に、JavaScriptライブラリ「Modernizr」の有害バージョンを埋め込むことに成功した。British Airwaysの顧客は不正なWebサイトに転送され、そこで情報を提供させられていた。

 ICOはBritish Airwaysのセキュリティインシデントを「侵害」(data breach)と表現している。しかしRiskIQの報告書によると、攻撃者はBritish Airwaysのネットワークに侵入して顧客情報を入手したのではないという。

 British Airwaysによれば、攻撃を受けたのは2018年8月21日から同年9月5日の間ということだが、ICOは「2018年6月から始まったと考えられる」と述べている。調査担当者は顧客の氏名、住所、クレデンシャル情報(ID/パスワードといった認証に必要な情報)、決済カード情報、予約情報などの流出を確認したという。

 ICO事務局長のエリザベス・デンハム氏は声明で、組織が顧客情報を保護できなかったことは「迷惑以上の問題だ」と強調。だからこそ、個人情報を預かる組織はその情報を適切に管理しなければならないことを、法律で明確に定めていると説明する。「それができなかった組織は当事務局の精査を受け、基本的なプライバシーの権利を保護する適切な方策を実施しているかどうかが検証される」とデンハム氏は述べる。

 British Airwaysは調査に協力し、セキュリティ向上に務めていると、ICOは認める。最終決定を変更するかどうかは「同社およびその他の関連するデータ保護機関の主張」を検討して判断するという。

謎に包まれたBritish Airwaysのセキュリティインシデント

ITmedia マーケティング新着記事

news079.jpg

狙うは「銀髪経済」 中国でアクティブシニア事業を展開する企業とマイクロアドが合弁会社を設立
マイクロアドは中国の上海東犁と合弁会社を設立。中国ビジネスの拡大を狙う日本企業のプ...

news068.jpg

社会人1年目と2年目の意識調査2024 「出世したいと思わない」社会人1年生は44%、2年生は53%
ソニー生命保険が毎年実施している「社会人1年目と2年目の意識調査」の2024年版の結果です。

news202.jpg

KARTEに欲しい機能をAIの支援の下で開発 プレイドが「KARTE Craft」の一般提供を開始
サーバレスでKARTEに欲しい機能を、AIの支援の下で開発できる。