(写真:イメージ)

英大手航空会社で2018年に発生した情報漏えいに対し、英データ保護監督当局は2,000万ポンドもの制裁金を科すことを先ごろ公表した。2019年に公表された際の1億8,339万ポンドから大幅な減額である。これには新型コロナウイルスの経済的影響も反映しているというがそれだけではない。一体何が決め手となったのだろうか。

250億円もの制裁金

欧州でEU一般データ保護規則(GDPR)が施行された2018年。同年、英大手航空会社ブリティッシュエアウェイズから40万人以上もの顧客に影響を与える情報漏えいが発生した。

その中には個人の名前や住所、カード番号やCVV番号(カードの裏面などに記載されており、オンライン決済などで用いることもある)、リワードプログラムのユーザー名と暗証番号なども含まれていた。そして、この中にはGDPRが適用される域内在住者をデータ主体とする個人データも含まれていることから、2019年7月に英データ保護監督当局より同社に対して実に1億8,339万ポンド(およそ250億円)もの制裁金が通知されている(*1)。

情報漏えいへと発展した経緯はこうだ。同社サプライヤのログイン情報が侵害され、これを用いて同社ネットワークへ不正侵入。そこからネットワーク内を横移動し管理者権限を得て、ウェブサイトを改ざん。改ざんされたウェブサイトへアクセスした一般の利用者や従業員たちは偽サイトへ誘導され、そこで入力してしまった情報が盗まれている。さらにこの事件は、2カ月以上後に第三者から指摘されたことで発覚している。