写真はイメージで本文と直接関係はありません(Cassiohabib / Shutterstock.com)

第1回でご紹介した被害例は、マルウェアを使ったサイバー攻撃により主に事業中断に起因する大規模な損害が発生したものでした。今回は、大量の個人情報が漏えいした事例として、米ホテル大手マリオット・インターナショナルの事故を解説していきます。

2017年6月に全世界に広がった「NotPetya」や「WannaCry」と呼ばれるマルウェア被害による事業中断が注目されるようになる以前、ハッカーたちの主な狙いは、個人情報を含むデータを盗取し、それらを販売して金銭を得ることにありました。そのため、多数の個人情報を保有・管理している金融機関、医療機関、小売業者、ホスピタリティ業者らが標的となりやすく、漏えいしたデータは「ダークウェブ」と呼ばれる闇サイト上で犯罪者に対して販売され、さらに別の詐欺事件などに悪用されるケースも多くありました。

このような情報漏えい事故は引き続き発生していますが、全世界にホテル事業を展開するマリオット・インターナショナルが2018年に発表した事故は、同社が2016年に買収したスターウッド・グループにおいて、買収前の2014年から不正アクセスによる情報漏えいが発生していたものです。漏えいした情報は約3億3900万人分に及び、うち約3000万件がEU加盟国の市民のもので、さらにそのうち約700万件が英国市民のものでした。スターウッド・グループの予約情報管理システムからハッカーに盗取された情報には、顧客のパスポート番号、旅程、ロイヤリティープログラム番号、クレジットカード番号、住所、電話番号、メールアドレス、生年月日、性別などが含まれていました。

また、先月初めに英国のデータ保護当局(ICO=Information Commissioner’s Office)が、GDPR(欧州一般データ保護規則、General Data Protection Regulation)に基づいて約135億円の制裁金を科すと発表したことで、本件は再度注目を集めています。現時点では制裁金の額が確定したわけではなく、マリオットは異議申し立てを行うものと考えられます。同社が支払う制裁金がいくらになるかは、GDPR制裁金の将来を示す重要な先例になることは間違いないでしょう。