編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内

英航空大手ブリティッシュ・エアウェイズに制裁金約27億円--2018年の顧客情報流出

Danny Palmer (Special to ZDNet.com) 翻訳校正: 編集部

2020-10-19 12:33

 British Airways(BA)は、「容認できない」失敗が原因で2018年に数十万件の顧客の個人情報が流出した件について、2000万ポンド(約27億円)の制裁金を科された。

 英国の情報コミッショナー事務局(Information Commissioner's Office:ICO)がこれまでに科した最高額の制裁金だという。また、欧州の一般データ保護規則(GDPR)に基づいている。

 このインシデントは2018年夏に起こったが、BAは2カ月以上、サイバー攻撃を検出しておらず、2018年9月になってようやく情報流出を公表した。

 2018年夏にBAのウェブサイトを使用した40万人以上の顧客は、サイバー犯罪者が運営する不正なウェブサイトにリダイレクトされ、名前や住所、支払いカード情報などの個人情報にアクセスされた。

 ICOによる調査では、BAが当時利用可能だったセキュリティ対策を実施していれば、サイバーセキュリティの弱点を特定し、修正できたはずだと結論づけられた。

 情報コミッショナーのElizabeth Denham氏は、「人々がBAを信頼して自分の個人情報を預けたにもかかわらず、BAはそれらの情報を保護する適切な措置を講じなかった」と述べた。

 「同社の不作為は容認できるものではなく、何十万もの人々に影響が及んだ。その結果、人々に不安や苦痛をもたらした可能性もある。これまでで最高額となる2000万ポンドの制裁金をBAに科したのは、そのためだ」

 ICOの調査では、攻撃を軽減できたであろう対策がいくつもあったにもかかわらず、BAは実施していなかったとされている。

 例えば、アプリケーションへのアクセスをユーザーの役割を果たす上で必要なものだけに制限することや、サイバーセキュリティの厳密なテストを実施すること、多要素認証でアカウントを保護することなどだ。

 ICOによると、このような対策はいずれも「過剰なコスト」や「技術的な障壁」が伴うものではなかったと考えられる。これらのセキュリティ対策の一部は当時も利用可能だったが、使用されていなかったという。

 さらに調査では、British Airwaysは第三者からインシデントの警告を受けただけであり、攻撃を自ら特定したかどうかは「不明だ」とされた。データが被害に遭った顧客の数を考えると、それは「重大な過失」だとICOはみなしている。

 それでも、BAは情報セキュリティの手段を「多大に」改善してきたとICOは説明している。

 BAの広報担当者は米ZDNetに対し、「われわれは2018年に当社のシステムへの攻撃を認識してすぐに顧客にアラートを送った。顧客の期待に応えられず申し訳ないと思っている」と述べた。

 「当社が攻撃以来システムのセキュリティを大きく改善してきたこと、当社が全面的に協力して調査を実施したことをICOが認識しているのは喜ばしい」(BA)

 ICOは2019年に、制裁金を課す見通しについてBAに通知していたが、当局のプロセスに基づいて最終的に2000万ポンドとなった。新型コロナウイルスのビジネスへの影響も考慮されている。

 Denham氏は、「組織が人々の個人情報について不適切な判断をした場合、人々の生活に大きな影響が及ぶ恐れがある。この法律は、最新のセキュリティへの投資など、企業がデータについてより優れた判断をするよう促すツールとなっている」とした。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]