英国のブリテッシュエアウェイズ(BA)が2018年に受けたサイバー攻撃に対するGDPR違反の罰金が約250億円になると報じられていました。
www.nikkei.com
英国の個人情報保護当局は8日、英航空大手ブリティッシュ・エアウェイズ(BA)から2018年に大量の顧客情報が流出した問題で、同社に1億8339万ポンド(約250億円)の制裁金を科す検討をしていると発表した。欧州連合(EU)が18年5月に施行した一般データ保護規則(GDPR)による措置で、新制度に基づく処分では最大になる可能性がある。
BAでは18年9月、ウェブサイトやスマートフォンアプリで航空券の予約手続きをした顧客の個人情報が盗まれる事件が発覚した。サイバー攻撃で氏名や住所、クレジットカード情報などが外部に漏れ、約50万人が被害を受けたとされる。
英情報保護当局の情報コミッショナー事務局(ICO)は、セキュリティー管理の貧弱さが情報流出を招いたとし、BAの17年売上高の1.5%にあたる制裁金を科す考えを通知した。
(日経新聞記事より引用)
◆キタきつねの所感
なかなかの罰金額が提示されています。Googleがフランス当局から課された罰金額が5000万ユーロ(約62億円)ですので、全世界売上高の1.5%というのはBA側も想像してなかったのではないでしょうか。
しかも、このデータ漏洩は国際的ハッカー集団「Magecart」によるAPT攻撃だったと言われています。
japan.zdnet.com
PCI DSS準拠もしていたであろう、一定以上のセキュリティ対策が取られていたBAのサイトで攻撃を受けた事に対する罰金額だと考えると、個社の要求されるセキュリティ対策(予算)にも影響を与えてきそうな判断と言えるかも知れません。
サプライチェーンが狙われたと言っても過言ではない、このAPT攻撃で、
個人情報の流出が起きたら「把握から72時間以内」の通報を求めている。今回、BAは速やかに通報して調査に全面的に協力していただけに、当局の方針に不満を示している。
BAの情報流出はGDPRの施行後に明らかになったものでは最大規模の事案だ。制裁金の額は今後減らされる可能性があるが、ひとたび欧州で情報流出を起こせば巨額の制裁金に直面するリスクを浮き彫りにした。
(日経新聞記事より引用)
BA側は通知や捜査へ協力してきたという想いがあり、規制当局から言われれば4%>1.5%なのかも知れませんが、納得できないものがあると考えるかと思います。まだ反論の余地はあるみたいですが、劇的に罰金額が下がるとは思えないので、GDPR違反の罰金リスク、それを象徴するような事件となりそうです。
foxsecurity.hatenablog.com
■日本人のためのパスワード2.0 ※JPAC様 ホームページ
7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。
更新履歴