プリンスホテルは6月26日、同社が運営を外部委託する外国語予約サイトで不正アクセスによる2件のセキュリティインシデントが発生したと発表した。これにより、合計で約12万4963件の個人情報が漏えいした。
同社によると不正アクセスが発生したのは、英語と韓国語、中国語(簡体、繁体)による予約システムが稼働するサーバで、同社は運用をファストブッキングジャパンに委託し、サーバはファストブッキングジャパンの親会社Fastbookingが所有しているという。Fastbookingのウェブサイトによれば、同社は100カ国8000軒のホテルと提携し、年間120万のトランザクションを処理している。
不正アクセスは6月15日と17日の2回発生し、20日にFastbookingが事態を把握した。15日の不正アクセスでは、2017年5月~2018年6月に43のホテルを予約したユーザーの5万8003件の個人情報(氏名、国籍、郵便番号、住所、電話番号、メールアドレス、予約金額、予約番号、予約ホテル名、チェックイン日、チェックアウト日)、17日の不正アクセスでは少なくとも2017年8月以前に39のホテルで予約したユーザーの6万6960件の個人情報とクレジットカード情報が漏えいした。
インシデントについてファストブッキングジャパン側は、22日と23日に電話およびメールでプリンスホテル側に事情を説明、24日には日本支社長が口頭と書面で報告したという。
プリンスホテルは、犯行が悪意ある外部者によるものと説明。日本語予約サイトは影響を受けていないとし、ファストブッキングジャパンに対しては情報管理などに関する確認と改善を要求したとしている。
プリンスホテルの英語予約サイトでは「システムエラーによる予約受付の中断」と説明されている
