2018年11月13日(火)

英BAの顧客情報流出、試されるGDPR対応

サービス・食品
ヨーロッパ
2018/9/11 14:15
保存
共有
印刷
その他

【ロンドン=篠崎健太】英航空大手ブリティッシュ・エアウェイズ(BA)のウェブサイトから約38万件の顧客情報が盗まれた。5月に欧州連合(EU)で一般データ保護規則(GDPR)が施行後、最大規模の個人情報流出だ。同社はただちに当局や顧客らに通知し、事態の収拾に乗り出した。GDPR下で初の重大事案として、企業や監督当局の対応が関係者から注目されている。

クレジットカードの詳細を含む約38万件の顧客情報が流出した(英ヒースロー空港に駐機するBA機)=AP

被害にあったのは8月21日夜から9月5日夜にかけて、同社サイトやスマートフォンアプリで航空券の予約手続きをした顧客の情報だ。氏名や請求先住所に加え、支払いに使ったクレジットカード情報が不正アクセスで抜き取られた。カード情報は番号や有効期限のほか、不正利用を防ぐために券面に記されたセキュリティーコードまで盗まれ、流出は深刻だ。

GDPRは企業や団体に個人情報の厳格な管理を求めている。重大な違反者は最大で年間売上高の4%か2千万ユーロの高い方という、巨額の制裁金を科される。BAの2017年12月期の売上高は122億ポンドで、制度上は最大約4.9億ポンド(約700億円)規模の制裁金を科される可能性がある。

BAが被害を知ったのは5日夜だった。翌6日夕にマスコミやロンドン証券取引所の適時開示システムを通じて公表し、同日までに警察や個人情報保護当局に通報した。GDPRは個人情報の流出が起きたら「把握から72時間以内」の当局への通報を求めており、対応を急いだといえる。

「大変申し訳ないが、あなたは影響を受けた可能性がある」。該当する顧客にはアレックス・クルーズ最高経営責任者(CEO)名の陳謝メールが届いた。金銭的被害があれば補償する方針だ。

英情報セキュリティー会社センサーネットのエド・マクネアーCEOは、ニュースやソーシャルメディアで事態を知った客が多かったと指摘。「利用者通知が遅れた点は非難され得るが、事態を矮小(わいしょう)化せず透明性を示した」と評価した。制裁金については「何も無ければ驚きだ」と、何らかの処分が下るとの見方を示した。

BAは17年5月に大規模なシステム障害で、英ロンドンの二大空港から出発する全便を終日欠航する混乱を引き起こした。今回の情報流出の詳しい経緯は明らかにされていないが、発覚まで2週間も見過ごしたうえ、詳細なカード情報まで流出させた責任は重い。当局がどう処断するかも含め、GDPR時代の企業の情報保全のあり方や対応を問う試金石となる。

今なら有料会員限定記事もすべて無料で読み放題

保存
共有
印刷
その他

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報