MENU

2018/6 FastBooking(ファストブッキング)社 情報流出事件

 

2018/6/26 プリンスホテルが情報流出で記者会見を行ったニュースが飛び込んできました。
GDPR施行後初の、日本が関係する情報流出事件で注目を集めましたね。

 

その後、他のホテルでも、情報流出の発表が相次ぎました。

 

情報流出を発表したホテル
6/26

プリンスホテル、ホテルニューオータニ、東京ドームホテル、リッチモンドホテル

 

6/27

藤田観光、阪急阪神ホテルズ、ホテルモントレ、グランビスタホテル&リゾート、イシン・ホテルズ・グループ、日本ビューホテル、芝パークホテル、ホテル小田急サザンタワー、ブライトンホテルなど

 

6/28

ソラーレ ホテルズ アンド リゾーツ、東急ホテルズなど

 

情報流出を発表していない宿泊施設もあり、なんと合計で401か所もの日本の宿泊施設の個人情報が流出したそうです。

 

事件の概要は?

6/15と6/17の2回、FastBookingのサーバに不正アクセスあり、情報流出が発生ました。

 

流出した個人情報は?

 

 ・1回目の不正アクセス(6/15)… 380施設 20万5137件の個人情報流出
 ・2回目の不正アクセス(6/17)… 189施設 12万 580件の個人情報流出

 

1回目は、顧客氏名、国籍、郵便番号、住所、メールアドレス、予約金額、予約番号、予約ホテル名、チェックイン日、チェックアウト日が流出しており、暗号化されていませんでした。

 

 2回目は、顧客氏名、クレジットカード番号、クレジットカード有効期限、顧客アカウント名が流出しており、暗号化されていたそうです。

 

合計で401の宿泊施設が被害にあっていますが、
そのなかでも、一番被害の大きかったプリンスホテルの被害は、かなり大規模です。
 ・1回目の不正アクセス… 43施設 58,003件の個人情報流出
 ・2回目の不正アクセス… 39施設 66,960件の個人情報流出

 

これまでに、流出した個人情報の悪用被害の報告はないそうです。

 

FastBooking社による、事件の報告はこちらです。
「ファストブッキングサーバーへの不正アクセスによる 個人情報および暗号化されたクレジットカード情報の流出について」
http://www.fastbooking.com/ja/newsfeeds/press-release-june-2018/

 

事件の原因は?

今のところ、詳しい発表はされていないようですが、サーバー上にバックドアが設置されていた、とのことです。

 

バックドアとは?

バックドア(backdoor)は、裏口とか勝手口という意味の英単語です。
IT用語としては、以下のような意味があります。

 

ソフトウェアやシステムの一部として利用者に気付かれないよう秘密裏に仕込まれた、正規の利用者認証やセキュリティ対策などを回避してこっそり遠隔操作するための窓口のこと。
byIT用語辞典

 

コンピューターネットワークやサーバーに設けられた不正アクセスのための出入り口。クラッカーの侵入やコンピューターウイルスにより、ネットワーク管理者に気づかれないよう作られる。
byデジタル大辞泉

 

FastBooking社(ファストブッキング)とは?

 

フランスの法人で、宿泊業者向けオンラインソリューションプロバイダです。
ホテルのインターネット予約エンジンを提供しています。
この業界の大手で、世界約6000ものホテルにサービスを提供しているそうです。
2000年に設立された会社ですが、ヨーロッパとアジアを中心に展開をしており、2010年には、日本支社を渋谷に構えています。
2015年には、FastBooking社は、フランス最大のホテルチェーンであるアコーグループに買収されています。

 

FastBooking社は、管理者?処理者?

 

GDPRは、管理者の罰則がとても重いルールでした。

 

今回のケースでは、FastBooking社は、予約サイトを運営している会社の管理者としての位置づけになるのでしょうか?

 

それとも、管理者はプリンスホテルなどのホテルで、FastBooking社は処理者となるのでしょうか?

 

もしくは、どちらの側面もあるので、FastBooking社は、管理者でもあり、処理者でもある、ということになるのかもしれません。

 

ホテルが管理者でFastBooking社は処理者と捉える場合、日本のホテルもこの情報漏えい事件の責任をとる必要があり、制裁金が科される可能性があります。管理者には、処理者(外注受託業者)に対する管理責任がありますからね。

 

ちなみに、GDPRには、情報漏えい発覚後には、72時間以内に監督機関に連絡しなければならないというルールがありますが、プリンスホテルは、72時間以内に日本の個人情報保護委員会とフランスの当局に通知を行ったそうです

 

おそらく、今回情報漏えいの対象となった宿泊施設の中には、このルールを守れなかったところもあると思います。小規模の宿泊施設の場合、なかなかGDPR対応は進められていないのでは、と予想されますから。
この事件は、宿泊施設から見ると他責になりますし、罰則の適用があるとしたら、ちょっと厳しすぎる気がします。

関連ページ

2019/01/22 GoogleがGDPR違反で5000万ユーロの制裁金
2019/01/22 Google、フランス当局からGDPR違反で5000万ユーロの罰金が課されました。GDPRの見せしめ制裁がついにきました。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2019/01/22 十分性認定 欧州委員会との合意が発表!
十分性認定 欧州委員会との合意が発表されました 個人情報保護委員会のHPに、報道発表資料がUPされました。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2018/12/26 日本の十分性認定は、1月中になる見込み
年末の12/26に、個人情報保護委員会から現在の状況の報告がありました! 日本の十分性認定は、1月中になる見込みとのことです。 GDPR(EU一般データ保護規則)関連の最新情報を紹介します。
2018/7/19 Googleに過去最高5700億円の制裁金(競争法違反)
2018/7/19 Google(グーグル)に過去最高5700億円の制裁金が課されることになりました。競争法違反です。
2018/7/17 十分性認定の最終合意+EPAとSPAが発表!
2018/7/17 十分性認定の最終合意が発表されました。やっとですね。この日には、日EU経済連携協定(EPA)と、戦略的パートナーシップ協定(SPA)も締結されました。
2018/7/10 Facebookの情報流出事件の制裁金はいくらに?
2018/07/10 Facebook(フェイスブック、FB)の情報流出事件に制裁金が科される方針だそうです。一体いくらになるのでしょうか?
2018/6/4 海外のDNA検査サイトで、9228万件の個人情報流出
2018/6/4 イスラエルのDNA検査サイト MyHeritageで、9228万件の個人情報流出が発覚しました。GDPR施行後初の、大規模な情報流出事件です。制裁金は適用されるのでしょうか?
2018/6/1 個人データ相互移転 日欧が合意※十分性認定を実質合意
2018/6/1 ついに、個人データ相互移転を日欧が合意しました。日本の十分性認定が実質合意されたことを指します。
2018/5/25 GoogleとFacebook、GDPR施行初日に提訴される
GDPR(EU一般データ保護規則)が、2018/5/25、いよいよ施行開始しました。そして、なんとGoogleとFacebookなど4社が、GDPR施行初日にオーストリアのプライバシー団体noybに、GDPR施行初日にいきなり提訴されました
2018/5/25 いよいよGDPRが施行開始しました!
GDPR(EU一般データ保護規則)が、2018/5/25、いよいよ施行開始しました。十分性認定は施行日までに間に合わなかった日本、データ移転のための対策はできていますか?
2018/5 GDPRが施行直前。プライバシーポリシーの更新が相次いでます。
GDPR(EU一般データ保護規則)の発効が、2018/5/25、と近づいてきています。各企業からのGDPR対応のためのプライバシーポリシーの更新のお知らせが増えました、
2018/4/25 ガイドライン(案)のパプリックコメントを募集開始
2018年04月25日 個人情報保護委員会の作成したガイドライン案がパブリックコメント意見募集を開始しました。 「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」
2018/3/28 「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」個人情報保護委員会
3月28日個人情報保護委員会より、 「EU域内にいる個人の個人データを取り扱う企業の皆さまへ」というお知らせがされました。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
2018/3/29 データ保護影響評価(DPIA)の実施に関するガイドライン
2018年03月29日 JETROのホームページに、データ保護影響評価(DPIA)の実施に関するガイドラインが公開されました。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
2018/3/28 SCC(標準的契約条項)の和訳が公開されました。
3月28日SCC(標準的契約条項)の和訳がJETROに公開されました。 GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。
2018/2 日本の十分性認定がほぼ確実の見通しになりました!
【速報】2018/2 日本の十分性認定がほぼ確実の見通しになりました! GDPR(EU一般データ保護規則)について、どこよりもわかりやすく説明します。