IT業界から見たGDPR(ホテル業界向け)

 【はじめに】 

 2018年5月 GDPR(General Data Protection Regulation)が施行されました。GDPRとはEEA(欧州経済領域内31カ国=EU加盟国+欧州3カ国)に所在する全ての個人データの厳格な保護を目的とする法律です。ここでいう個人データにはIPアドレス等ネット上の情報を含み、データのライフサイクル(入手・収集~保管~利用~提供~廃棄)に対する厳格なルールの適用を求めており、違反に対しては高額な制裁金を定めています。制裁金は売上の4%または2000万ユーロ(2018年11月初旬のレートで約26億円)と日本の個人情報保護法やマイナンバー法と比較しても桁違いの厳しさです。GDPRでは個人データのEEA域外への持出は、持出先がGDPRの要求を満たした法規制に対応していないと禁止となっています。このGDPRは多くの産業、企業に影響があると考えていますが、特にホテルをはじめとする観光関連のビジネスを展開している企業は早期の対応が必要と考えています。当社は今までIT企業を中心に情報セキュリティへの取り組みを支援してきたので、そのノウハウを活かし、”情報セキュリティへの取り組み”という側面から順次、情報提供をしていきます。なお、情報提供は主にホテル業を想定し、当面、毎週月曜日に更新しますが、大きな動きがあればその都度更新します。

 

 【ホテル業界に激震??】 

 2018年6月フランスのホテル予約サイト”ファストブッキング”で不正アクセスにより、日本国内約400か所のホテルから325千件のクレジット情報を含む個人情報が流出するという事件が発生しました。被害にあったホテルは誰でも知っている有名ホテルが含まれていました。この事件がGDPR違反の疑いありとされています。実際、被害にあった某ホテルはGDPR違反を視野に入れ、調査・対応することを表明しています。

 さて、一般的な認識では、違反はファストブッキング社であり、ホテルは被害者ではないかと思われます。被害にあったホテルも多くがそういう認識と言われています。

 なぜ、ホテルによって対応が異なるのか?

 なぜ、調査を表明しているホテルはGDPR違反を視野に入れているのか?

ここがGDPRのキモです。

 

【GDPRとは】 

2018/5に施行されたGDPRとは、EEA(欧州経済領域内31カ国=EU加盟国+欧州3カ国)に所在する全ての個人データの厳格な保護を目的としている。個人データにはIPアドレス等ネット上の情報を含み、データのライフサイクル全般(収集~保管~利用~提供~廃棄)に対する厳格なルールの適用、違反に対する高額な制裁金を定めている。制裁金は売上の4%または2000万ユーロ(201810月のレートで約26億円)と日本の個人情報保護法やマイナンバー法と比較しても桁違いの厳しさである。個人データのEEA域外への持出は、持出先がGDPRの要求を満たした法規制に対応していないと禁止となっている。

 

【事件のポイント】 

ホテル側が情報漏洩等、情報セキュリティに対するリスクを分析し、必要な対策を自身が取ることはもちろん、予約サイト等の委託先、サプライヤー、調達先等に指示し、監督していたか。ホテル側は事件発覚から72時間以内に欧州の監督機関に通知したかが問われ、対応が適切でないと判断されると制裁金を科される。 

以前より、ファストブッキング社はホテル側にGDPRへの対応を求めていたそうだが、対応したのはごく一部。多くのホテルが「GDPRは適用外と考えている」というスタンスとのこと。 

果たして、その認識は正しいだろうか?

 

【情報セキュリティに取り組むとは?】 

前項で“情報漏洩等、情報セキュリティに対するリスクを分析し、必要な対策を自身が取ること、委託先、サプライヤー、調達先等に対する指示、監督”がポイントと書いたが、一言でいえば”情報セキュリティに取り組んでいるか“が問われている。一般的な認識として、”情報セキュリティに取り組む=リスク分析・評価・対応“と認識されているようだが、リスク対策は大きく2つのことを考えなくてはならない。1つは、セキュリティを脅かす事象を発生させない”予防策“、もう1つは万が一、事件・事故が発生した場合を想定した”対応策“である。