英航空大手で38万件の顧客情報が流出、GDPR施行後初
ブリティッシュ・エアウェイズ(British Airways)のシステムが不正アクセスを受け、数十万件にのぼる乗客の支払い情報が流出した。今後、ブリティッシュ・エアウェイズは巨額の制裁金を課される可能性がある。
ハッカーからの不正アクセスによって流出したのは、8月21日から9月5日の間、ブリティッシュ・エアウェイズのWebサイトを利用した38万件超の顧客情報。同社は6日、被害に遭った顧客への連絡を開始している。
欧州連合が新たに策定した一般データ保護規則(GDPR)では、企業は顧客データの保護に予防措置を講じ、顧客データの侵害(情報えい)が発生した場合、監督機関に対し72時間以内に報告することが義務付けられている。
ブリティッシュ・エアウェイズの顧客情報保護が不十分であったと判断された場合、同社は最高で年間売上高の4%(約5億ポンド=716億円)に相当する制裁金を課される可能性がある。とはいえ、それはまず考えられないことだろう。十分な対策をしていても不正アクセスを受ける可能性はあり、不正アクセスを受けた事実だけでブリティッシュ・エアウェイズに過失があったことにはならないからだ。一方、同社の最高経営責任者(CEO)は、不正アクセスによって経済的損失を被った顧客全員に補償を実施することを約束している。
今回の不正アクセス発生時期は、ブリティッシュ・エアウェイズにとってはあまり喜ばしくないタイミングだった。新規則施行後、初の大規模なデータ漏えい事件の1つとなってしまったからだ。規制当局はGDPRの運用に真剣であることを示す良い機会として、見せしめにブリティッシュ・エアウェイズを罰しようとするかもしれない。企業のGDPR遵守を支援する英国のソフトウェア会社ポート・im(Port.im)の創業者であるジュリアン・サンダース最高経営責任者(CEO)は、 次のようにブルームバーグ(Bloomberg)に語っている。「一旦どこかで線引きする必要があります。今がその最良の時期かもしれません」。
