大手航空会社が「GDPR」違反で約240億円の罰金 制裁は正当か：British Airwaysで何が起こっていたのか

British Airwaysは、大規模な顧客情報流出に対してGDPRの制裁を受け、1億8339万ポンドの罰金が科せられる可能性がある。攻撃の詳細は明らかになっておらず、制裁の正当性について専門家は疑問を呈する。

[Michael Heller，TechTarget]

英情報保護当局の情報コミッショナー事務局（ICO）による発表（同：ICOのWebサイト）

　航空会社のBritish Airwaysが約50万人の顧客の個人情報を流出させたセキュリティインシデントは、欧州連合（EU）の一般データ保護規則（GDPR）において記録的高額の違反制裁金を科されることになりそうだ。

　英国情報保護当局の情報コミッショナー事務局（ICO）は、2018年夏に発生したセキュリティインシデントに対し、British Airwaysに1億8339万ポンド（約240億円）の制裁金を課す意向を2019年7月8日（現地時間）に発表した。

　セキュリティ企業RiskIQの脅威研究者ヨナタン・クレインスマ氏による2018年9月の報告書によると、攻撃者らはBritish AirwaysのWebサイトとモバイルアプリケーションの両方に、JavaScriptライブラリ「Modernizr」の有害バージョンを埋め込むことに成功した。British Airwaysの顧客は不正なWebサイトに転送され、そこで情報を提供させられていた。

　ICOはBritish Airwaysのセキュリティインシデントを「侵害」（data breach）と表現している。しかしRiskIQの報告書によると、攻撃者はBritish Airwaysのネットワークに侵入して顧客情報を入手したのではないという。

　British Airwaysによれば、攻撃を受けたのは2018年8月21日から同年9月5日の間ということだが、ICOは「2018年6月から始まったと考えられる」と述べている。調査担当者は顧客の氏名、住所、クレデンシャル情報（ID／パスワードといった認証に必要な情報）、決済カード情報、予約情報などの流出を確認したという。

併せて読みたいお薦め記事

GDPRへの対策

• GDPRのデータ漏えい通知“72時間ルール”、開始タイミングはいつ？
• 一般データ保護規則（GDPR）の主な要件を満たすために、どこから手を付ければいい？
• AIのブラックボックス化を許さないGDPRに注意

GDPRの金銭的制裁

• なぜGoogleはGDPR違反で62億円の制裁金を科されたのか
• 丸分かり「GDPR対策」　“制裁金2000万ユーロ”回避に役立つIT面での対策とは？
• いまさら聞けない「GDPR」（一般データ保護規則）の真実　“罰金2000万ユーロ”の条件は？

　ICO事務局長のエリザベス・デンハム氏は声明で、組織が顧客情報を保護できなかったことは「迷惑以上の問題だ」と強調。だからこそ、個人情報を預かる組織はその情報を適切に管理しなければならないことを、法律で明確に定めていると説明する。「それができなかった組織は当事務局の精査を受け、基本的なプライバシーの権利を保護する適切な方策を実施しているかどうかが検証される」とデンハム氏は述べる。

　British Airwaysは調査に協力し、セキュリティ向上に務めていると、ICOは認める。最終決定を変更するかどうかは「同社およびその他の関連するデータ保護機関の主張」を検討して判断するという。

謎に包まれたBritish Airwaysのセキュリティインシデント