情報漏えいの罰則としてEUから最大950億円の罰金を迫られるマリオットホテル
2018年9月に、3億8300万件の個人情報漏えいを発表したマリオットホテル。顧客からの信用の失墜、新たなセキュリティ投資といった問題に加えて、EUからの巨額の罰金支払いを迫られる可能性が出てきました。以下でご説明します。
マリオットホテルに何が起こったか
マリオットホテルは、国際ホテルブランドを展開する企業です。現在、全世界で6,700のホテルが29のブランドを銘したホテルを運営しています。有名なものには、「マリオット」「リッツカールトン」「ウェスティン」「シェラトン」「メリディアン」などがあります。
マリオットと、同じくホテルブランドを展開する「スターウッド」は、もともと別会社でしたが、2015年にマリオットがスターウッドを買収しました。この際、マリオットの会員プログラムである「Marriott Rewards」に、スターウッドの会員プログラムである「Starwood Preferred Guest (SPG)」を統合せず、それぞれ別なプログラムとして併存させることにしています。
2018年9月にマリオットは、SPG顧客の情報漏えいを発表しました。この中で、SPG会員の氏名、住所、電話番号、メールアドレス、生年月日、性別、SPGアカウント情報、今後の予約情報が漏えいされたと発表され、情報漏えい件数は最大で5億件になると伝えられました(実際には3億8300万件)。なお、Marriott Rewardsは別システムであったことから、今回の情報漏えいによる影響はありません。
その後、暗号化されていないパスポート525万件、暗号化されたパスワード2030万件も漏えいしたと発表されています。特にパスポート番号を含むパスポート情報は、偽造パスポートに利用される可能性が高く、顧客に迷惑がかかる可能性が高いこともあり、マリオットは100ドルの補償金を支払う予定と伝えられています。
最大で売上高の4%の罰金を課せられる「EU一般データ保護規則」
ブランドの失墜、セキュリティ対策などに加えて、マリオットにとって頭が痛い問題は「EU一般データ保護規則」、通称GDPRです。
現在、EU圏内の住民の個人情報を企業や組織が大量に保有しています。この個人情報が不適切に扱われることを防ぐためのデータ保護、ならびEU圏外への個人情報の持ち出しを防ぐことを目的とした規則がGDPRです。
GDPRは2018年に施行されましたが、EU圏に本社を置く企業だけでなく、EU圏で営業活動を行う企業全てが取り締まりの対象となります。違反した場合の罰則は非常に重く、最大で「全会計年度の企業全体の売上高の4%」が罰金として科される可能性があります。マリオットの前年度の売上高は228億ドルであるため、この4%となると9.1億ドル (950億円) という巨額となってしまい、年間の営業利益の半分近くが吹っ飛んでしまう計算となります。
ユーザーが注意すれば自身の情報漏えいを防げたのか
この情報漏えいは日本人にとっても他人事ではありません。多数の日本人SPG会員がいることから、日本人の情報が多数漏えいされていると考えて間違いないでしょう。では、「私たち一般ユーザーが注意すれば、自身の情報が漏えいすることを防げた」のでしょうか。
答えは「否」です。不正アクセスを試みたハッカーが、スターウッドのデータベースから膨大な個人情報を持ち去ってしまっており、ユーザーがいかに注意したとしても避けられるものではありませんでした。SPGを利用するためには、氏名、住所、パスポート番号といった情報の登録は必須となっており、これが登録されていないことにはホテル予約やポイントといったSPGのサービスを利用できないためです。
なお、「シェラトン」や「ウェスティン」といったスターウッドのホテルに宿泊する際に、SPG以外のホテル予約サイトなどから予約すれば、今回の情報漏えいの対象とはならないか、というと、そうではありません。マリオットは、「SPG会員でなくても、スターウッドのホテルを利用した方の情報が漏えいしている可能性がある」と発表しています。SPGからの予約ではなく、別な旅行代理店からの予約であったとしても、情報が漏えいした可能性があることを意味します。
つまり、SPG会員か否か、またどの方法で予約したかを問わず、情報は漏えいしたと考えるべきで、ユーザー努力で防ぐ手立てはなかったのです。
情報漏えいによる被害を最小化させるためにできること
では、今後このような事故を避けるためにできることは何でしょうか。
マリオットのような国際的な企業が起こした大規模情報漏えいの裏には、小規模の企業が日々情報漏えいを起こしているという現実があります。マリオットの情報漏えいは努力しても避けられませんでしたが、もっと小さな企業やサービスに情報を預ける際に注意できることはたくさんあります。以下では、簡単にできる3つの方法をお知らせします。
1.信頼できないサイトで個人情報を入力しない
日々私たちが受信するメールの中には、信頼できない発信元から送られたメール、または信頼できる企業を模して送られた偽のメールがあります。これらは、ウイルスを添付して情報を盗み出そうとするものか、情報入力ページに誘導して個人情報を入力させて盗み出すものかのいずれかです。
「支払いが行われていません」「このままではアカウントが解約されます」といった、注意を喚起させるような文章に惑わされずに、信頼できるメールかどうかを見定めて対応し、悪意のある第三者に個人情報を渡すことのないようにしましょう。
2、非SSLサイトで入力しない
あなたが利用しているパソコンやスマホと、インターネット上のサーバーは光回線やモバイル回線で通信することで情報のやり取りを行っています。ここで注意したいのは、通信が暗号化されていないホームページがいまだに多数あるということです。
もしあなたが、暗号化されていないホームページから自身の個人情報を送信した場合、通信中に悪意のある第三者がこれを傍受する可能性があります。通信が暗号化されているか、されていないかは「ブラウザのアドレスバーに鍵マークがあるかないか」で判断できます。
鍵マークがある安全なサイトは「SSL (Secure Sockets Layer)」で暗号化されているサイトで、URLの初めが「https://」となっています。逆に、鍵マークのない暗号化されていないサイトは、URLが「http://」となっています。情報を送信する前は必ずチェックしましょう。
3、パスワードの使い回しをしない
SPG会員情報漏えいでは、ユーザーのパスワードは漏えいしませんでした。しかし、多くの情報漏えい事故でパスワードが漏えいしているのもまた事実です。もし、同じ「メールアドレス」と「パスワード」を使い回して、複数のサイト・サービスの登録を行っている場合、不正なアクセスを受ける可能性が非常に高いです。
これを避けるためには、「1つのサイトに使ったパスワードは、別なサイトで使わない(パスワードの使い回しをしない)」ことが大切です。とはいえ、それぞれ個別に違うパスワードを記憶しておくのは大変なもの。この悩みを解決するために、当社の企業向けパスワード管理・シングルサインオン製品の「トラスト・ログイン(旧 SKUID)」をご検討ください。
