イギリスの ICO からの怒涛のような GDPR 違反制裁金

7月 11, 2019 セキュリティとコンプライアンス, MOVEit

先日、ブリティッシュ・エアウェイズとマリオットホテルは、合計で約3億5,000万ドル(約380億円)の罰金を科されました。

イギリスの夏は、コンプライアンス違反の罰金がホットな話題になっています。イギリスの ICO (個人情報保護監督機関:Information Commissioner Office) は、7月8日月曜日にブリティッシュ・エアウェイズに対して、GDPR 関連の制裁金として約2億2,900万ドル(1億8,300万ポンド、約248億円)を言い渡し、翌日にはホテルチェーンのマリオットに対して、約1億2,300万ドル(9,920万ポンド、約134億円)の罰金を科すと宣言しました。どちらも、昨年両社が被った深刻なデータ侵害に対する制裁金です。

ブリティッシュ・エアウェイズは史上最大の罰金に直面

ICO は、月曜日、ブリティッシュ・エアウェイズ航空会社に、昨年のデータ侵害に対して、1億8,300万ポンドの罰金を科す計画を発表しました。この金額は、ICO の罰金としてイギリス史上最大のものです。ブリティッシュ・エアウェイズは、最終的な判断が下されるまでに28日間の上訴への猶予期間を与えられています。

昨年、ブリティッシュ・エアウェイズは、2018年の8月から9月の間に約38万件のトランザクションが影響を受けた巨大なデータ侵害の被害を受けました。

個人情報保護監督機関によると、ブリティッシュ・エアウェイズの「ずさんなセキュリティ対処」のために、約50万人の顧客のクレジットカード情報とその他の個人識別情報(Personally Identifiable Information、PII)が侵害の被害にあいました。

ICO は、ブリティッシュ・エアウェイズが、データ侵害が確認される少なくとも1年前に、サードパーティーのプラグインが原因で自社のWebサイトに脆弱性があることを知っていた点を問題視しています。脆弱性があることを知りながら、この問題を解決するための対策がまったくとられていませんでした。

Elizabeth Denham 情報コミッショナーは、このような形でのデータ損失は、「単なる不便ではすまされない」とし、企業は「基本的なプライバシー権を保護」する義務があると指摘しています。

「人の個人データはまったく個人的なものです。組織が紛失、損傷または盗難から保護することに失敗した場合、それは単なる不便ではすまされません。法律が明確に規定しています - 信用されて個人データを託されている場合、しっかり管理しなければなりません。それを怠った組織は、基本的なプライバシー権を保護するために適切な措置を取ったかどうかを確認する精査を受けることになります。」とDenham 女史は述べています。

マリオットへの罰金は9,920万ポンド (約134億円)

制裁は、ブリティッシュ・エアウェイズだけにはとどまりませんでした。ICO は、火曜日に、ホテルチェーンのマリオットに対して、昨年のデータ侵害への制裁金、9,920 万ポンド(約1億2,300万ドル、約134億円)を科すつもりであると発表しました。

昨年マリオットから開示された情報によると、2014年から2018年9月10日の間にチェーンのスターウッドの最大5億人分の宿泊予約データベースから、個人識別情報(PII)と財務情報が侵害されました。

約3億8,300万件の侵害データには、名前、住所、電話番号、メールアドレス、パスポート番号、生年月日、性別などの PII が含まれていました。暗号化されてはいましたが、顧客のクレジットカード情報もアクセスされました。このデータ侵害の被害者には、3,000万人のヨーロッパ人が含まれています。

イギリスの ICO が苦々しく思っていたことは想像に難くありません。Denham 女史は以下のように言明しています。

「GDPR は、組織が保持している個人データに責任を負わなければならないことを明確にしていますこれには、企業買収時に適切なデューデリジェンスを実行し、どのような個人データが取得されたのかだけでなく、どのように保護されているのかを評価するための適切な説明責任措置が含まれます。」

「個人データには真の価値があるので、組織は、他の資産と同様に、そのセキュリティを確保する法的義務を負います。それが実行されていない場合は、人々の権利を保護するために必要があれば強力な措置を講じることに躊躇することはありません。」

ブリティッシュ・エアウェイズと同様、マリオットも、28日以内に罰金に対して控訴することができ、同社は米国証券取引委員会(Securities Exchange Commission、SEC)に書類を提出するつもりであると示しました。

マリオットは、米国ではまだ罰金を科されていません。

制裁金の額は急上昇

ICO がケンブリッジ・アナリティカのスキャンダルに関連してソーシャルメディア大手のフェイスブックに、わずか50万ポンドの罰金を科してから1年も経たないうちに、制裁金の額はここまで上昇しました。(GDPR 違反に対するものではなく、必ずしも対等に比較することはできないとしても。)

このスキャンダルは、英国の政治コンサルタント会社であるケンブリッジ・アナリティカ社が、2016年の選挙期間中に、数百万人のアメリカ市民と EU市民に政治広告を行うために、研究目的で収集された、フェイスブック利用者のデータを使用したというもので、フェイスブックのマーク・ザッカーバーグ氏が米国議会と欧州議会で喚問を受けました。

50万ポンドという額は、ダメージの大きさを考慮すると少額過ぎると思えますが、GDPR に移行する前のイギリスの1998年のデータ保護法の下で認められた最大の額でした。

GDPR が全面的に施行されている現在、コンプライアンス違反への制裁金は、はるかに厳しいものになっています。最大で、2,000万ユーロ、または全世界の年間売上高の4%のいずれか高い方の金額まで科すことができます。ブリティッシュ・エアウェイズへの罰金は、2017年現在の年間売上高の約1.5%に相当します。

GDPR コンプライアンスへの要件は、英国企業にも必要

イギリスの1998年のデータ保護法の話に戻ると、2018年5月以前は、これがイギリスで唯一の主要なデータ保護法であり、すべての業界に適用されていました。上述のように、ペナルティははるかに低いものであり、Brexit でイギリスがEUから脱退した場合、イギリスの企業は GDPR コンプライアンスのために準備する必要はなかったのではないかと思う人もいました。

ところが、2018年5月、イギリス政府は1998年の法律に代わる2018年のデータ保護法を導入して、GDPR をイギリスの法律に取り入れました。GDPR コンプライアンスへの準備を行ってきた英国企業は、無駄な努力をしたわけではなかったことが証明されたわけです。

Brexit が実際に起きた場合でも、GDPR を完全に補完 - 情報社会サービスに対する最低同意年齢(13)や、その他の英国の法律と国家安全保障を反映する地域差はあるにせよ - する2018年のデータ保護法が存在します。つまり、Brexit のあるなしにかかわらず、GDPR の原則はイギリスでも適用されます。コンプライアンス違反があれば、ICO がさらに大きい罰金を科すこともあるでしょう。

Jeff Edwards

Jeff Edwards is a tech writer and analyst with three years of experience covering Information Security and IT. Jeff has written on all things cybersecurity, from APTs to zero-days, and previously worked as a reporter covering Boston City Hall.