2018年に自社システムがサイバー攻撃を受けた英航空大手British Airwaysに対して、1億8340万ポンド(約250億円)の罰金が科せられる可能性が出てきた。
この記録的な罰金は、2018年4~7月の間にBritish Airwaysのウェブサイトを利用した何十万人もの顧客に影響を及ぼしたとされるデータ漏えいを受けて、情報コミッショナーオフィス(ICO)が提示したものだ。このデータ漏えいは、9月に明らかにされた。
ICOによると、このインシデントでは、British Airwaysのウェブサイトへのユーザートラフィックが詐欺サイトにリダイレクトされ、顧客約50万人の個人情報が影響を受けた。
ICOは、2018年5月に施行された欧州連合(EU)のデータ保護法である一般データ保護規則(GDPR)の下で罰金を科す意向を明らかにした。提示された罰金は、これまでにGDPRの下で新制度に基づいて出された処分では最大規模となる可能性がある。
顧客の個人データやクレジットカード情報の流出に、「Magecart」として知られるサイバー犯罪集団が関与したと考えられている。このハッカー集団は、オンラインストアに不正に侵入し、ストアのチェックアウトページに入力されたクレジットカード情報を盗む「JavaScript」コードを埋め込むことで知られている。
「広範な調査」の結果を受け、ICOはBritish Airwaysの「不十分なセキュリティ体制」が原因で情報が危険にさらされたと結論付けた。ログインや支払いカード、旅行予約の詳細、名前と住所の情報に関連するセキュリティだ。
British Airwaysの会長兼最高経営責任者(CEO)であるAlex Cruz氏は、ICOの調査結果に「驚きと失望」を感じていると述べ、「盗難に関連するアカウントでの詐欺的な行為を示すものは何も見つかっていない」と主張した。
British Airwaysを傘下に置くInternational Airlines Groupは不服を申し立てる意向だ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
