英国の情報コミッショナー(ICO)が、British Airways(ブリティッシュ・エアウェイズ、BA)と親会社インターナショナル・エアラインズ・グループ(IAG)に対し、罰金1億8339万ポンド(2億3000万ドル)を科したという記事。昨年明らかになったデータ流出事件に関するものです。
「調査の中で、ICOはログインや支払いカード、旅行予約の詳細、そして名前や住所などの情報を含め、BAのセキュリティの甘さによりさまざまな情報が危険にさらされたことがわかったと述べていた。
罰金(2018年12月31日までの1年間のBAの総売上高の1.5%)は、ICOデータ流出をめぐって企業に科した罰金としては最高額になる(これに比べ、これまでの最高記録保持者のFacebookが昨年科せられた罰金はわずか50万ポンドだ)。」
会社側はこのような処分に反発しているそうです。
「投資家向けの声明で、IAGのトップ2人はBAを擁護し、社内調査では情報盗難にリンクするアカウントでの詐欺行為の証拠は認められなかった、と説明した(ご存知だろうが、もちろん流出したデータが必ずしも盗まれたところで使われるわけではない)。
「我々はICOから罰金が科せられたことに驚き、そして失望している」とBAの会長でCEOのCruz British(クルズ・ブリティッシュ)氏は述べた。「BAは顧客の情報を盗むという犯罪行為に素早く対応した。この情報盗難にリンクするアカウントでの詐欺行為の証拠は認められなかった。今回の件で迷惑をかけた顧客にお詫びする」。
IAGのCEOであるWillie Walsh(ウィリー・ワルシュ)氏もまた「BAは科せられた罰金に関してICOに異議を申し立てる。控訴も含め、BAの立場を力強く弁護するあらゆる手段を取るつもりだ」。」
当局側の考え方は...
「ICOは今朝、発表文の中で罰金は今回のデータ流出の前に発効した一般データ保護規則(GDPR)違反に伴うもの、と述べている。より詳細にいうと、今回の件には、ユーザーのトラフィックを詐欺サイトに向かわせ、そこで悪意あるハッカーが顧客の情報を盗むという、BA.com上のマルウェアが含まれた。
BAは事件をICOに9月に知らせたが、データ流出は6月から始まっていたとされている。それ以降、BAは“ICOの調査に協力し、こうしたデータ流出が明るみに出て以来セキュリティ対策を向上させた”とICOは話していた。しかしこのデータ流出はもっと早くに発見されるべきで、同社にはデータ保護を速やかに実行すべき例が他にもある(BAは手痛い思いをしてようやく学んだようだ)。」
英航空大手British AirwaysにGDPR違反で罰金約250億円の可能性--2018年に個人情報流出(ZDNet)
「「広範な調査」の結果を受け、ICOはBritish Airwaysの「不十分なセキュリティ体制」が原因で情報が危険にさらされたと結論付けた。ログインや支払いカード、旅行予約の詳細、名前と住所の情報に関連するセキュリティだ。」
これに続いて、英国の情報コミッショナーは、有名ホテルチェーンにも巨額の罰金を課しています。
英当局、マリオットにGDPR違反の制裁金135億円--顧客情報の流出で(CNET)
「ホテルグループのMarriott Internationalは2018年11月、ハッカーにより予約システムから顧客データを4年にわたって盗まれる被害に遭っていたことを明らかにした。そしてこのほど、そうしたデータを安全に保てなかった代償を払わなければならなくなった。
英国のプライバシー監視機関である情報コミッショナー事務局(ICO)は現地時間7月9日、こうしたセキュリティ侵害を受けたことに対しMarriottに9920万ポンド(約135億円)の制裁金を科すと発表した。ICOは、欧州連合(EU)全域に適用されるプライバシー法で、2018年5月に施行された一般データ保護規則(GDPR)に従って制裁金を科す。
ハッカーらは、2014年にStarwood Hotelsのセキュリティシステムを侵害した。Marriottは2016年にStarwoodを買収したが、セキュリティ侵害を発見してパッチを適用したのは2018年になってからだった。この事件で3億3900万件の宿泊記録(このうち、EU加盟国の国民のものが3000万件、英国民のものが700万件)から個人データが流出した。」
データ漏洩ではありませんが、日本のこの会社の事件もセキュリティの甘さによって起きたもののようです。
↓
[社説]セブンペイ不正利用問題から学ぶこと(日経)(記事冒頭のみ)
「セブンペイは店頭でアプリを使って決済する仕組みで、1日にサービスを始めたばかりだった。ところが、直後から一部利用者のアカウントが不正アクセスを受け、約900人が被害に遭ったもようだ。被害額は約5500万円との試算を公表している。」
「セブンペイはショートメッセージでパスワードを送って本人確認する「2段階認証」を導入せず、利用者本人でなくてもパスワードを容易に再設定できる状態にしていた。こうした点を改めるのはもちろんのこと、他社では一般的になっている仕様を採用しなかった理由を探る必要がある。」
「日本企業には最高情報責任者(CIO)の職位を設けていても、十分な知識や経験がない幹部が務めている例がある。」
7pay問題「ITオンチ」のトップを生む日本企業〈技術軽視の病〉(現代ビジネス)
「7payの不正アクセス事件では顧客情報の管理システムそのものがあまりにも脆弱だったうえに、運営会社の社長が「2段階認証」のシステムを知らなかったことで人々の驚きと失笑を買った。
しかし冷静に考えてみると、この会社、この社長だけが特別なわけではなく、同様の失態はどこで起きてもおかしくない。ある意味で今回の会見は、日本企業が抱える致命的な弱点を浮き彫りにしたといってよい。
日本企業の経営層にITの知識が乏しく、それが企業の国際競争力の低さにもつながっていることは以前から指摘されてきたことだ。しかし問題はトップにITの知識がないというレベルの話にとどまらず、根っこはもっと深いところにある。日本企業の人事システムそのものがいまの時代に通用しなくなっているのであり、今回の一件はそれを象徴的な形で示したにすぎない。」
最近の「企業会計」カテゴリーもっと見る
【独自】渦中の経営者を直撃…悪質M&Aは介護業界にも 「本当に異常」残高わずか4000円 全員退去の施設も 警察は捜査できず【調査報道】(TBSより)
半期報告書提出期限延長申請6件(サンテック、nmsホールディングス、奥村組、サンウェルズ、プロトコーポレーション、ウィルソン・ラーニング ワールドワイド)(2024年11月13日)
[社説]米国は温暖化対策の歩みを止めるな(日経より)
「『監査役会等の実効性評価』の実施と開示の状況」を公表(日本監査役協会)
船井電機破産、不可解な資金の流れ 出版社が買収後3年半、347億円の現預金ほぼ枯渇(産経より)
まつ毛エクステ店「銀座カラーアイズ」運営、ファーストコンサルティング(東京)が破産(東京商工リサーチより)
会計ニュース・コレクター(小石川経理研究所)
経理や会計監査にかかわるニュースを集めます。
PHOTO
会計士がつくる会計と監査のページ。新着情報はhttps://twitter.com/kaikeinews でお知らせしています。
最近の記事
カテゴリー
バックナンバー
2000年
人気記事
