2019年08月07日 05時00分 公開
特集/連載

大手航空会社が「GDPR」違反で約240億円の罰金 制裁は正当かBritish Airwaysで何が起こっていたのか

British Airwaysは、大規模な顧客情報流出に対してGDPRの制裁を受け、1億8339万ポンドの罰金が科せられる可能性がある。攻撃の詳細は明らかになっておらず、制裁の正当性について専門家は疑問を呈する。

[Michael Heller,TechTarget]
ICO 英情報保護当局の情報コミッショナー事務局(ICO)による発表(同:ICOのWebサイト)

 航空会社のBritish Airwaysが約50万人の顧客の個人情報を流出させたセキュリティインシデントは、欧州連合(EU)の一般データ保護規則(GDPR)において記録的高額の違反制裁金を科されることになりそうだ。

 英国情報保護当局の情報コミッショナー事務局(ICO)は、2018年夏に発生したセキュリティインシデントに対し、British Airwaysに1億8339万ポンド(約240億円)の制裁金を課す意向を2019年7月8日(現地時間)に発表した。

 セキュリティ企業RiskIQの脅威研究者ヨナタン・クレインスマ氏による2018年9月の報告書によると、攻撃者らはBritish AirwaysのWebサイトとモバイルアプリケーションの両方に、JavaScriptライブラリ「Modernizr」の有害バージョンを埋め込むことに成功した。British Airwaysの顧客は不正なWebサイトに転送され、そこで情報を提供させられていた。

 ICOはBritish Airwaysのセキュリティインシデントを「侵害」(data breach)と表現している。しかしRiskIQの報告書によると、攻撃者はBritish Airwaysのネットワークに侵入して顧客情報を入手したのではないという。

 British Airwaysによれば、攻撃を受けたのは2018年8月21日から同年9月5日の間ということだが、ICOは「2018年6月から始まったと考えられる」と述べている。調査担当者は顧客の氏名、住所、クレデンシャル情報(ID/パスワードといった認証に必要な情報)、決済カード情報、予約情報などの流出を確認したという。

 ICO事務局長のエリザベス・デンハム氏は声明で、組織が顧客情報を保護できなかったことは「迷惑以上の問題だ」と強調。だからこそ、個人情報を預かる組織はその情報を適切に管理しなければならないことを、法律で明確に定めていると説明する。「それができなかった組織は当事務局の精査を受け、基本的なプライバシーの権利を保護する適切な方策を実施しているかどうかが検証される」とデンハム氏は述べる。

 British Airwaysは調査に協力し、セキュリティ向上に務めていると、ICOは認める。最終決定を変更するかどうかは「同社およびその他の関連するデータ保護機関の主張」を検討して判断するという。

謎に包まれたBritish Airwaysのセキュリティインシデント

ITmedia マーケティング新着記事

news139.jpg

「TikTok For Business」誕生 中小企業支援やクリエイターとのマッチングで新展開も
TikTokでブランドの声を広げるための新しいプラットフォーム「TikTok For Business」が誕...

news066.jpg

「鬼滅」「あつ森」「恋つづ」他 10代男女が選ぶ2020年上半期流行ったもの――Simejiランキング
おなじみの「Simejiランキング」では、新型コロナウイルスやステイホームに影響を受けた...

news148.jpg

コロナ禍で「たすけあいの意識」が高まったと回答した人が66.9%――こくみん共済 coop調査
コロナ禍の意外な効用? 人と人との「たすけあい」の気持ちが強くなっているという調査...