【はじめに】 

 2018年5月 GDPR(General Data Protection Regulation)が施行されました。GDPRとはEEA(欧州経済領域内31カ国=EU加盟国+欧州3カ国)に所在する全ての個人データの厳格な保護を目的とする法律です。ここでいう個人データにはIPアドレス等ネット上の情報を含み、データのライフサイクル(入手・収集~保管~利用~提供~廃棄)に対する厳格なルールの適用を求めており、違反に対しては高額な制裁金を定めています。制裁金は売上の4%または2000万ユーロ(2018年11月初旬のレートで約26億円)と日本の個人情報保護法やマイナンバー法と比較しても桁違いの厳しさです。GDPRでは個人データのEEA域外への持出は、持出先がGDPRの要求を満たした法規制に対応していないと禁止となっています。このGDPRは多くの産業、企業に影響があると考えていますが、特にホテルをはじめとする観光関連のビジネスを展開している企業は早期の対応が必要と考えています。当社は今までIT企業を中心に情報セキュリティへの取り組みを支援してきたので、そのノウハウを活かし、”情報セキュリティへの取り組み”という側面から順次、情報提供をしていきます。なお、情報提供は主にホテル業を想定し、当面、毎週月曜日に更新しますが、大きな動きがあればその都度更新します。

 

 【ホテル業界に激震??】 

 2018年6月フランスのホテル予約サイト”ファストブッキング”で不正アクセスにより、日本国内約400か所のホテルから325千件のクレジット情報を含む個人情報が流出するという事件が発生しました。被害にあったホテルは誰でも知っている有名ホテルが含まれていました。この事件がGDPR違反の疑いありとされています。実際、被害にあった某ホテルはGDPR違反を視野に入れ、調査・対応することを表明しています。

 さて、一般的な認識では、違反はファストブッキング社であり、ホテルは被害者ではないかと思われます。被害にあったホテルも多くがそういう認識と言われています。

 なぜ、ホテルによって対応が異なるのか?

 なぜ、調査を表明しているホテルはGDPR違反を視野に入れているのか?

ここがGDPRのキモです。

 

【GDPRとは】 

2018/5に施行されたGDPRとは、EEA(欧州経済領域内31カ国=EU加盟国+欧州3カ国)に所在する全ての個人データの厳格な保護を目的としている。個人データにはIPアドレス等ネット上の情報を含み、データのライフサイクル全般(収集~保管~利用~提供~廃棄)に対する厳格なルールの適用、違反に対する高額な制裁金を定めている。制裁金は売上の4%または2000万ユーロ(201810月のレートで約26億円)と日本の個人情報保護法やマイナンバー法と比較しても桁違いの厳しさである。個人データのEEA域外への持出は、持出先がGDPRの要求を満たした法規制に対応していないと禁止となっている。