Information Commissioner's Office(データ保護当 局)(以下、「ICO」)は、顧客の個人情報のサイ バー攻撃対策を怠ったとみられる大手国際企業 2 社に欧州連合一般データ保護規則(以下、 「GDPR」)違反で合計 2 億 7,500 万ポンドを上回 る制裁金を科す方針を発表した。

ICO は今月 8 日(月)、2018 年 8 月に発生した顧 客情報流出によりブリティッシュ・エアウェイズ (以下、「BA」)に 1 億 8,339 万ポンドの制裁金 を科す方針を発表した。本件サイバー攻撃は 2018 年 9 月 6 日に公表され、BA のウェブサイトにアク セスしたユーザーが悪質サイトに誘導され、約 50 万人の個人名、メールアドレス、クレジットカード の情報を含む顧客情報が流出したとみられる。ICO によると、BA は調査に協力し、セキュリティ対策 を強化したとされている。制裁金は、BA の 2017 年度の売上高の 1.5 パーセントの金額に値すると見 込まれ、欧州連合におけるデータ保護監督機関が GDPR に基づいて科す制裁金としては過去最高額で ある。 

翌日 9 日(火)、ICO は Marriot International, Inc. (以下、「マリオット」)に、Starwood 予約デー タベースの個人情報流出に関して、9,920 万ポンド の制裁金を科す方針を発表した。本件データ流出 は、欧州経済領域(EEA)の 30 か国以上に及ぶ約 3700 万人の個人情報を含む、3 億 3000 万人の個人 情報が流出したもので、2014 年に発生した  Starwood ホテルシステムのサイバー攻撃が原因と 考えられる。本件について ICO に通知が届いたの は、マリオットが Starwood 社を買収した約 2 年後 の 2018 年 11 月であった。ICO は、マリオットは Starwood の IT システムの見直し及び強化などの適 切な措置をとるべきであったと判断した。マリオッ トは ICO の調査に協力し、セキュリティ対策を強 化した。 

GDPR には 2 段階の制裁金があり、特定事項の違反 には、1,000 万ユーロまたは前年売上高の 2 パーセ ントのうちより大きい金額、個人の権利侵害などよ り深刻な違反には、2,000 万ユーロまたは前年売上 高の 4 パーセントのうち大きい金額が科される。 BA 及びマリオットが科される制裁金の金額は、い ずれも上記の金額を下回るが、ICO が両社の調査協 力とセキュリティ対策の改善を勘案して金額を減額 したものと考えられる。両社には 28 日間の異議申 立期間が設けられ、ICO は両社及び欧州各国当局の 意見などを考慮した上で最終決断を下す。

ICO の声明文によると、BA 及びマリオットのいず れの件においても流出した個人情報の性質ではな く、セキュリティ対策の欠陥に着目したものである ように考えられる。さらに ICO は、買収対象企業 が GDPR に従う必要がある場合、IT セキュリティ 及びデータ保護システムに関するデュー・ディリジ ェンスの必要性を強調した。今回の件は、ICO が個 人情報流出の取締りを強化しつつあり、欧州内外の 企業に関わらず、GDPR に従った万全なデータ保護 及びセキュリティー対策を整えるべきであることを 表している。ICO が GDPR の違反による制裁金を科 したのは今回が初めてであり、英国が EU 離脱後に 適用するコンプライアンスの基準を打ち出したと考 えられる。

UK ICO Intends to Fine Marriott over £99m for Personal Data Breach under the GDPR

British Airways Fined over £183m for Personal Data Breach Under the GDPR