GDPR
英国のデータ保護機関である情報コミッショナーオフィス(Information Commissioner’s Office:ICO)は、2018年に起きた情報流出によりBritish Airwaysに対して1億8,300万ポンド(約250億円)の制裁金を科すと発表しました(英語記事)。EUがCambridge Analyticaの件でFacebookに対して科した制裁金の数百倍であるとの見方もあります。この記事では、何が問題だったのか、なぜ制裁金に違いがあるのか、データ保護について事前に考えておくべきことなどを見ていきます。
British Airwaysのデータ流出―どこに問題があったのか
British Airwaysは昨年秋、顧客データに外部の人間がアクセスしたことを明らかにしました。盗まれたのは、8月21日~9月5日の期間に同社のWebサイトまたはスマートフォンアプリを通じて航空券を購入または変更した人のデータ、約50万人分です。ユーザー名、パスワード、氏名、住所、セキュリティコード(CVCコード)を含むクレジットカード情報など、オンラインの入力フォームに顧客が入力した情報がすべて流出しました。
捜査の結果、この件はサイバー犯罪グループ「Magecart」による攻撃を受けた(英語記事)ものと結論づけられました。Magecartは、電子商取引(Eコマース)に悪意あるスクリプトを注入して金融関連の情報を窃取する手口で知られています。British Airwaysのケースも同様で、同社のWebサイトに悪意あるスクリプトが仕掛けられました。モバイルアプリの利用者が影響を受けたのは、アプリがWebサイトからさまざまな機能を直接読み込んでいたのが原因です。
GDPRの制裁金
British Airwaysはこの事件を迅速に報告し、捜査に協力もしましたが、制裁金を支払うことになります。GDPRの規定によれば、欧州経済領域内に所在する個人のデータを取り扱う企業は、データの安全性を確保するために可能なかぎりの対策を講じなければなりません。調査では、同社Webサイトの保護対策が十分でなかったことが判明しました。同社はこの事件後に防御手段を導入しましたが、起きてしまった事件の責任は変わりません。
Facebookは利用者約8,700万人分のデータを流出させましたが、科せられた制裁金は50万ポンド、GDPRの前身であるデータ保護指令(1998年発効)が規定する最高額でした。
支払う可能性のある制裁金の方がセキュリティ費用よりも高額に
昨年のデータ漏洩に対するBritish Airwaysへの制裁金額は、まだ確定していません。ICOは、欧州のその他データ保護機関やBritish Airwaysからの申し立てを考慮に入れるでしょう。それでも、この金額は示唆的です。適切なセキュリティ手段を導入してこのような事件の発生を阻止する方が、はるかに低コストです。欧州に所在する人の個人データ(特に銀行での支払いに関する情報など)を取り扱う企業の場合、信頼できるセキュリティ製品を導入するなど、早急に措置を講じることをお勧めします。
特にEコマースやオンラインバンキングの場合は、Webサイトにスキミングコードを注入されるのを防ぐため、何かが起きる前に対策を講じることが重要です。Kaspersky Fraud Preventionプラットフォームは、悪意あるスクリプトの注入も含め、オンライン上のさまざまな脅威を特定可能です。詳細についてはこちらをご覧ください。
ヒント