Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

GDPR違反で年間売上高の3%の罰金

マリオットが傘下に収めたスターウッドが予約DBの侵害を受け、800万件のクレジットカード情報等が漏洩した事件で英国のデータ保護当局(ICO)がマリオットに対して9900万ポンド(約134億円)の罰金を科す見込みと発表されました。

jp.techcrunch.com

 

英国のデータ保護当局は、ホテルチェーン大手のMarriott(マリオット)の顧客3億8300万人のデータ流出で、同社に9900万ポンド(約1億2300万ドル、約134億円)の罰金を科す見込みであることを明らかにした。マリオットは昨年、同社が買収したStarwoodの予約データベースがハックされ、暗号化されていない500万人のパスポート番号や800万のクレジットカード情報が流出したと発表していた。

調査を行った英国の情報コミッショナーオフィス(ICO)は、「MarriottがStarwoodを買収した時に十分な企業調査(デューデリジェンス)を行わず、システムを確かなものにするための方策を講じるべきだった」と語った。

(中略)

新しいGDPRでは、ICOは企業の年間売上高の最大4%にあたる罰金を科すことができる。Marriottの2018年の売上高が約36億ドルだったことからするにICOの罰金はMarriottのグローバル売上高の3%に相当する。

(Techcrunch記事より引用)

 

◆キタきつねの所感

買収した企業であっても、そこを起因としたセキュリティインシデントの責任を負わなければいけない。ここまでは仕方が無い事であるかと思います。英国データ保護当局(ICO)の罰金を課す理由部分、『買収時に十分な企業調査を行う事を怠った』というのはマリオット側が受け入れたとしても、肝心の罰金部分については、かなり厳しい額であると言えそうです。

GDPRの最大罰金は、『全世界年間売上の4%』か『2000万ユーロ』のどちらか高い方・・・とは言われてきましたが、『売上の3%』が課されるのは、ブリテッシュエアウェイズ(1.5%)より重たい判断となっています。

 

これ以前の高額罰金は、今年1月にフランス規制当局(CNIL)がGoogleに課した5000万ユーロ(約62億円)だったかと思いますので、急にハードルが上がった感じがします。

 

GDPR違反の罰金額を調べてみた(2019年1月版) - Fox on Security

 

 

マリオットは当局に説明(異議申し立て)をするみたいですので、最終確定の罰金額ではありませんが、企業経営に与える『セキュリティ』要件の重要性は、GDPRの欧州だけでなく、今後、米国などの他地域でも罰金額として反映していきそうですので、注意が必要かと思います。

 

f:id:foxcafelate:20190714150503p:plain

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

f:id:foxcafelate:20190714145128p:plain

 

更新履歴

  • 2019年7月14日PM(予約投稿)