GDPRは、本気だ！　British Airways（英国航空）　Marriott International（マリオット）に巨額な制裁金

IT小僧の時事放談のブログを書くキッカケとなった
GDPR（General Data Protection Regulation：一般データ保護規則）が、２つの組織に100億円以上の制裁金を科していました。

今回のIT小僧の時事放談は、
GDPRは、本気だ！　British Airways（英国航空）　Marriott International（マリオット）に巨額な制裁金
と題して　GDPRは、GoogleとFacebookだけが対象とおもっていたけど、EU（英国）にも厳しい。
というお話です。

最後まで読んでいただけたら幸いです。

スポンサーリンク

GDPRおさらい

GDPR （General Data Protection Regulation：一般データ保護規則）

EU域内の個人データ保護を規定する法として、1995年から現在に至るまで適用
もともと存在した「EUデータ保護指令（Data Protection Directive 95）」に代わり
2016年4月に制定、2018年5月25日に施行された法律である。

GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定され、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持つ。

GDPRは、組織ではなく法律でEU市民の個人情報に対して違反したら巨額な制裁金が発生するというわけです。
2018年に日本でもGDPRが話題となり、コンサルタント業界は、ひと儲けしたのではないっでしょうか？

GDPRについての成立から中身については、以前のブログを見ていただけると書いてあります。
参考にでもしてください。

GDPR例外国

日本では、2019年にGDPR例外国として認定されたので大きな制裁金は、今の所、なさそうです。
※EUで日本は、個人情報保護法などで問題なしと判断して　日欧間で協議の結果「GDPR例外国」に認定されています。

ここで重要なのは、GDPRは、EU市民の個人情報であって、日本人の情報が大量流失しても、関知しないし、米国人の個人情報も同じように関知しない。

EUの市民の個人情報ということがポイントです。

[amazonjs asin="B005IF0MQ4" locale="JP" title="プラス 個人情報保護スタンプ ローラーケシポンワイド ホワイト IS-510CM 38-130"]

100億円超えの制裁金

2018年5月のGDPRの適用開始から2019年10月までにGDPR違反で制裁金を公表したもので100億円を超える事案が発生

これからその２社（団体）をみてみよう。

ブリティッシュ・エアウェイズ（British Airways、BA）

サイバー攻撃により、Webサイトやモバイルアプリから予約や変更を行った約50万人の顧客のデータが不正に流失

制裁企業
ブリティッシュ・エアウェイズ（British Airways、BA）

制裁金
1億8339万ポンド（約257億円）

内容
サイバー攻撃により、Webサイトやモバイルアプリから予約や変更を行った約50万人の顧客のデータが不正に流失

経過
2018年6月　サイバー攻撃が始まる。
2018年9月　セキュリティーの被害があったとICOに速やかに報告

ICOの調査
「顧客がBAのWebサイトにアクセスすると偽サイトに転送され、ログイン情報やクレジットカード番号、旅行予約の詳細、氏名や住所など様々な情報が流失」したと発表

賠償金も発生
制裁金の他に情報が流失した顧客からも保証を求める訴訟が始まる。

現在係争中
2019年10月
英国高等法院（高等裁判所）は、被害に遭ったBAの顧客が補償を求める集団訴訟の提起を認める。
原告側代理人は、影響を受けた被害者に1人当たり1250ポンド（約17万5000円）の保証を求めた。

仮に50万人が請求した場合、補償額は総額875億円となり補償額は総額875億円を超える。
さすがにBAは、これをのむわけもなく

親会社のインターナショナル・エアラインズ・グループ（International Airlines Group）はICOの制裁金について「異議申し立てを含む適切な措置をすべて講じる」と表明した。

制裁金、補償については、今後、裁判で闘うこととなります。

マリオット・インターナショナル（Marriott International）

2016年に買収した米スターウッドホテルグループの「スターウッドゲスト予約データベース」がシステムの脆弱性を突かれるサイバー攻撃に遭い、全世界で約3億3900万件の顧客データが漏洩

全世界で約3億3900万件いぇ規模がでかすぎる・・・

制裁企業
マリオット・インターナショナル（Marriott International）

制裁金
約9920万ポンド（約139億円）

内容
2016年　マリオットが、米スターウッドホテルグループを買収
買収されたスターウッドホテルグループの「スターウッドゲスト予約データベース」にシステムの脆弱性がありサイバー攻撃の餌食となり個人情報流失

流失件数は、全世界で約3億3900万件の顧客データでそのうち欧州経済地域（EEA）に在住する約3000万人が含まれていた。

経過
2014年　スターウッドのシステムがサイバー攻撃にあう。
2016年　マリオットが、米スターウッドホテルグループを買収
2018年11月　セキュリティーの被害があったとICOに報告

ICOの調査
個人情報の漏洩は、2014年にスターウッドのシステムがサイバー攻撃をうけたときにからはじまり、2018年9月まで発見できなかった。
マリオットは、買収したときに十分な企業調査を行わない、対策をたてるべきだった。
と発表

マリオット側は、制裁金について「異議申し立てを含む適切な措置をすべて講じる」と表明
制裁金については、今後、裁判で争うこととなります。

買収した企業のセキュリティの甘さで高額な制裁金となるとマリオット側も納得できないだろうな。
企業買収のリスクが大きいというわけですね。

中国の企業から個人情報が流失したら

仮の話です。

もし中国の企業から個人情報が流失したらGDPRは、発動するのでしょうか？
中国寄りのドイツなどの各国は、どうるのか？

IT小僧の予想では、中国企業のサービスで漏洩しても無視するだろうと思います。

中国（国内）企業では、個人情報は、「国家が見ることもできる状況」になっているので外国の調査を許さないだろうし、調査は不可能だと思います。

個人情報にうるさいApple社だって、中国にiPhoneを売るためにiCloudの鍵を中国企業に渡しているくらいですから、中国相手に商売するということは、それなりの覚悟が必要というわけです。

まとめ

GDPRが成立したときに　IT小僧は、FacebookとGoogleの対抗策だろうと考えていました。
ところが今回のように　ブリティッシュ・エアウェイズ（British Airways、BA）　や　マリオット・インターナショナル（Marriott International）で巨額な制裁金が発動しました。

特にブリティッシュ・エアウェイズ（British Airways、BA）は、英国という（揉めているけど　まだEU）EU仲間での話です。
この２社の制裁をみて他の企業は、よりいっそう　システムに対するコストが膨らむこととなるでしょう。

スポンサーリンク