個人情報漏えいのBAに罰金2000万ポンド ICO、不正アクセス検知の遅れ指摘

ニュース NO IMAGE

 イギリスの大手航空会社、ブリティッシュ・エアウェイズ(BA)が2018年に不正アクセスを受けて大量の顧客情報を流出させた問題で、イギリスの情報コミッショナーオフィス(ICO)は2000万ポンド(約27億円)の罰金を同社に科したことを明らかにしました。ICOは日本でいえば個人情報保護委員会のような組織です。ICOは当初、1億8300万ポンド(約250億円)の罰金を科す予定でしたが、コロナ禍の影響を考慮して2000万ポンドへと大幅に減額されました。

適切なセキュリティ対策を講じていなかった

 ブリティッシュ・エアウェイズは、2016年に搭乗システムの不具合、2017年には大規模なシステム障害で航空機の運航に影響が出るなどコンピューターのトラブルにたびたび見舞われていましたが、2018年には同社のウェブサイトやモバイルアプリからチケットを予約した顧客の個人情報やクレジットカード情報が大量にハッカーによって窃取されていたことが明らかになり大きな問題となりました。

 この個人情報等の漏えいに対しICOはこのほど、40万人を超える顧客の個人情報および財務情報を保護できなかったとしてブリティッシュ・エアウェイズに対し2000万ポンド(約27億円)の罰金を科したことを明らかにしました。ICOが制裁の理由としている点は概ね以下の点です。

  • ブリティッシュ・エアウェイズは適切なセキュリティ対策を講じることなく大量の個人情報を処理していた。
  • 不正アクセスを2カ月以上、検知することができなかった。
  • セキュリティの弱点を早期に発見して対処していれば被害を回避することが可能だった。

 ICOによると、攻撃者はCitrix gatewayのリモートアクセスを悪用してブリティッシュ・エアウェイズの内部アプリケーションにアクセスし、ネットワークを横断して同社のウェブサイトのjavascriptファイルを編集、会員のデータを攻撃者が制御する外部のサードパーティドメインに抽出できるようにしていたということです。攻撃は2018年6月22日から9月5日にかけて行われ、攻撃者は40万人以上の顧客の個人情報とクレジット情報にアクセス、漏えいした情報は顧客の名前、住所、クレジットカード番号、CCV番号だということです。

 ブリティッシュ・エアウェイズは2018年9月6日にこの事実を明らかにしましたが、同社では当初8月21日から9月5日にかけて攻撃を受け顧客情報38万件が窃取されたとしていました。しかし、その後のICOの調べで攻撃が6月22日から行われていたことが判明、ブリティッシュ・エアウェイズの不正アクセスの検知の遅れにより大量の個人情報とクレジット情報の流出を招いたことが明らかになりました。

 ICOによれば、アクセス制限やシステムに対するサイバー攻撃に対するシミュレーションテスト、多要素認証などブリティッシュ・エアウェイズがネットワークに不正アクセスされるリスクを軽減、防止する対策が多くあったにもかかわらず、それら対策が十分行われずに被害を招いたということです。

当初は全世界売上高の1,5%の罰金だったが…

 ブリティッシュ・エアウェイズへの制裁は、2018年5月25日に施行されたEUの一般データ保護規則(GDPR)にもとづいて行われました。GDPRでは違反者への罰金を企業の全世界年間売上高の4%以下もしくは2000万ユーロ以下と定めています。ICOは昨年、ブリティッシュ・エアウェイズに1億8300万ポンド(約250億円)の罰金を科すことを表明、報道によるとこれは同社の2017年の全世界の売上高の1.5%に相当するということです。しかし、実際に科された罰金は2000万ポンド(約27億円)と大幅にダウン。減額した理由についてICOは、経済的な影響を考慮したものとしており、コロナ禍による航空産業の現状を踏まえて罰金の額が決定されたものと考えられます。

 ICOは日本でいえば個人情報保護委員会のような存在ですが、日本では今年6月に法人に対して最高1億円までの罰金を科す改正個人情報保護法が可決・成立し、今後、施行される状況です。改正法では不正アクセスによる情報漏えいについて件数にかかわらず報告、通知の義務を規定しており、違反が認められた場合、罰金を科すとしていますので、日本国内においても今後、サイバー攻撃を受けて個人情報を流出させた場合、相応の罰金が科されていくことになると予想され、企業はセキュリティ対策により慎重に取り組む必要があります。

■出典

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/

https://ico.org.uk/action-weve-taken/enforcement/british-airways/

https://www.ncsc.gov.uk/news/ncsc-statement-reported-british-airways-data-breach

https://www.bbc.com/news/uk-england-london-45440850

https://www.bbc.com/news/business-48905907

https://www.theguardian.com/business/2017/may/28/british-airways-cyber-attack-unlikely-amid-scramble-to-resume-flights-on-sunday

NO IMAGE
最新情報をチェックしよう!