IT業界から見たGDPR(ホテル業界向け)

~最新情報~  更新日:2019年3月25日

【情報セキュリティに取り組む ~委託先、提携先に対する対策その6~】  

最近、25年間にも大きな地震が発生しています。

1994年10月北海道東方沖地震、12月三陸はるか沖地震

1995年1月阪神・淡路大震災

1997年5月鹿児島北西部地震

2000年10月鳥取県西部地震

2001年3月芸予地震

2003年9月十勝沖地震

2004年10月新潟県中越地震

2011年3月東日本大震災

2016年4月熊本地震

2018年6月大阪北部地震、9月北海道胆振東部地震

他にもありますが、これらには”この地域は地震がないから安全”と言われていた地域も含まれています。また、これ以外にも豪雨、台風等による災害が毎年のようにがっ制しています。今や、”絶対に安全”はありません。

当然、自身でも不測の事態が発生した場合の対応を考えなければなりませんが、同時に委託先にも対応を求める必要があります。

 

~過去の情報~

 【はじめに】 

 2018年5月 GDPR(General Data Protection Regulation)が施行されました。GDPRとはEEA(欧州経済領域内31カ国=EU加盟国+欧州3カ国)に所在する全ての個人データの厳格な保護を目的とする法律です。ここでいう個人データにはIPアドレス等ネット上の情報を含み、データのライフサイクル(入手・収集~保管~利用~提供~廃棄)に対する厳格なルールの適用を求めており、違反に対しては高額な制裁金を定めています。制裁金は売上の4%または2000万ユーロ(2018年11月初旬のレートで約26億円)と日本の個人情報保護法やマイナンバー法と比較しても桁違いの厳しさです。GDPRでは個人データのEEA域外への持出は、持出先がGDPRの要求を満たした法規制に対応していないと禁止となっています。このGDPRは多くの産業、企業に影響があると考えていますが、特にホテルをはじめとする観光関連のビジネスを展開している企業は早期の対応が必要と考えています。当社は今までIT企業を中心に情報セキュリティへの取り組みを支援してきたので、そのノウハウを活かし、”情報セキュリティへの取り組み”という側面から順次、情報提供をしていきます。なお、情報提供は主にホテル業を想定し、当面、毎週月曜日に更新しますが、大きな動きがあればその都度更新します。

 

 【ホテル業界に激震??】 

 2018年6月フランスのホテル予約サイト”ファストブッキング”で不正アクセスにより、日本国内約400か所のホテルから32万5千件のクレジット情報を含む個人情報が流出するという事件が発生しました。被害にあったホテルは誰でも知っている有名ホテルが含まれていました。この事件がGDPR違反の疑いありとされています。実際、被害にあった某ホテルはGDPR違反を視野に入れ、調査・対応することを表明しています。 さて、一般的な認識では、違反はファストブッキング社であり、ホテルは被害者ではないかと思われます。被害にあったホテルも多くがそういう認識と言われています。 なぜ、ホテルによって対応が異なるのか? なぜ、調査を表明しているホテルはGDPR違反を視野に入れているのか?ここがGDPRのキモです。

 

【GDPRとは】 

 2018年5月に施行されたGDPRとは、EEA(欧州経済領域内31カ国=EU加盟国+欧州3カ国)に所在する全ての個人データの厳格な保護を目的としています。個人データにはIPアドレス等ネット上の情報を含み、データのライフサイクル全般(収集~保管~利用~提供~廃棄)に対する厳格なルールの適用、違反に対する高額な制裁金を定めています。制裁金は売上の4%または2000万ユーロ(2018年10月のレートで約26億円)と日本の個人情報保護法やマイナンバー法と比較しても桁違いの厳しさです。個人データのEEA域外への持出は、持出先がGDPRの要求を満たした法規制に対応していないと禁止となっています。

 

【事件のポイント】 

 ホテル側が情報漏洩等、情報セキュリティに対するリスクを分析し、必要な対策を自身が取ることはもちろん、予約サイト等の委託先、サプライヤー、調達先等に指示し、監督していたか。ホテル側は事件発覚から72時間以内に欧州の監督機関に通知したかが問われ、対応が適切でないと判断されると制裁金を科されます。 以前より、ファストブッキング社はホテル側にGDPRへの対応を求めていたそうですが、対応したのはごく一部。多くのホテルが「GDPRは適用外と考えている」というスタンスとのこと。 果たして、その認識は正しいのでしょうか?

 

【情報セキュリティに取り組むとは?】 

 前項で“情報漏洩等、情報セキュリティに対するリスクを分析し、必要な対策を自身が取ること、委託先、サプライヤー、調達先等に対する指示、監督”がポイントと書きましたが、一言でいえば”情報セキュリティに取り組んでいるか“が問われているといえます。一般的な認識として、”情報セキュリティに取り組む=リスク分析・評価・対応“と認識されているようですが、リスク対策は大きく2つのことを考えなくてはなりません。1つは、セキュリティを脅かす事象を発生させない”予防策“、もう1つは万が一、事件・事故が発生した場合を想定した”対応策“です。

 

【情報セキュリティとは?】 

 情報セキュリティは、“重要な資産を機密性、完全性、可用性をバランスよく保つこと”と定義されます。重要な資産とは情報(データ等)やそれを扱うためのインフラ、要員等あらゆる要素であり、例えば、個人情報、そのデータを扱う給与計算等のソフトウェア、そのデータやソフトウェアが保管されているサーバー等の記憶媒体、ネットワーク等の機器、それらのサービスを提供するサプライヤ、ソフトウェアや機器を扱う人等が代表的です。また、機密性とは情報を公開する範囲、完全性とはデータの正確性、可用性とは許可された人がその情報を使いたい時に使える状態にあることを意味します。例えば、それぞれを損ねた現象は“情報漏洩事故”“情報の改竄”“システム障害”等があります。

 

【情報セキュリティに取り組む ~方針管理~】  

情報セキュリティには、特定の担当者だけが取り組むのではなく、全社で取り組むことが重要です。全社で取り組む、その第一歩が方針管理となります。情報セキュリティに関する方針を経営陣(取締役、執行役員、幹部社員等)が協議、検討します。それを全ての社員、委託業者、取引先等の利害関係者に周知、または公表します。さらに方針の枠組みの中で目標を設定し、その目標を部門毎、階層毎で設定、最終的には個人の目標、役割等へ展開します。目標という以上、抽象的な表現はダメです。“いつまでに”“なにを”“どれだけ”達成するのか、可能であれば数値で設定するとよいでしょう。個人への展開も上司と本人の面接で本人の希望や意向、上司の期待等を共有し、両者合意の上で目標を設定してください。 例えば、弊社は“コンプライアンス基本方針”を設定しています。

 

【情報セキュリティに取り組む ~ヒトへの対策~】  

今までに起きた個人情報漏洩事件を思い出してください。最近でこそ、外部からの不正アクセスにいる漏洩が多くなりましたが、ほんの一昔前は情報漏洩といえば、”元社員””元派遣社員””元外注先社員”が犯人というのが定番?でした。在職中に受けた仕打ちに対する仕返し、いやがらせから始まって、数年前に金銭目的、つまり情報を抜き取って売ってしまうなんていう事件もありました。どんなに立派な仕組みやルールを作っても最終的にはヒト次第。

ところで、ヒトに関しては大きく2つにことを考えなければなりません。1つめは意図しないポカ、チョンボ、うっかりといったミス防止です。2つ目は悪意を持たれないための対策です。

いずれにも共通しているのは、やはりトレーニング。主にセキュリティに関する意識・認識を維持し、高めるもの。例えば、最近のセキュリティ事情、他社の事件・事故事例、ルール違反を犯した場合に想定される出来事等。そして、スキルアップ。個人情報等重要なデータや情報を取り扱う場合、手順やルールの周知、ソフトウェアや機器の使い方をきちんと身に付ける必要があります。そういえば、数年前、株の単価と発注数量を間違え、大きな損害を出した事例がありました。

問題は、”悪意を持たれないための対策”です。社員の言いなりになれというつもりは毛頭ありません。とはいえ、社員の働きやすさ、働き甲斐と言ったことを考えた施策は必要でしょう。幸い、働き方改革なるものがスタートしますので、何らかの施策を打つのに良い機会でしょう。

 

【情報セキュリティに取り組む ~オフィスに対する対策~】  

セキュリティ対策は、多重にすることが大切です。例えば、オフィスビルに入居している場合、共有部に警備システムが導入され、専有部に入るためには別の鍵やカードが必要であれば、これだけで二重となります。さらに、施錠可能な書庫にあるものはそのカギで三重となります。多重化、すなわち一重より二重、二重より三重、三重より四重...。多重化すればするほどアクセスするための壁は高くなり、セキュリティ対策はより強固なものとなります。一方、多重化すればするほどメンドーになります。カードや鍵はその分必要となるので...。この件に限らず、情報セキュリティ対策を強化すればするほど、利便性を損なう可能性が高くなります。情報セキュリティ対策は、強固さと利便性のバランスを考え、リスクに応じて実施することが重要です。

 

【情報セキュリティに取り組む ~オフィスに対する対策~】  

いまどき、オフィスに泥棒が入るなんて聞くことは少ないですが、多くの会社ではオフィスに重要な情報やデータを置いていたり、それらにアクセスする環境があります。例えば、サーバーの設置、パソコンの設置、鍵や入退で使用するカード、セキュリティ上の価値はともかく、現金、実印等。オフィスに対する対策はその第一歩です。また、カード紛失事故は未だ多くの会社で発生しています。鍵やカードはオフィスにアクセスするための最初のカベです。鍵やカードを渡したら、間違いなく保有しているか、失くしていないかを定期的にチェックすることを勧めます。なお、鍵やカードを全員に渡す必要がない場合、気を付けることは”必要な人にだけ渡す”です。万が一を考え、使うことはほとんどないにも関わらず、欲しがる人がいますが、渡してはいけません。必要がない人に渡さないのも重要なセキュリティ対策です。

 

【情報セキュリティに取り組む ~ITに対する対策~】  

ITの目覚ましい進展はいまさら説明の必要はないでしょう。そして、ITの進展に歩調を合わせるかの如く、情報セキュリティも同等以上のスピードで進展?してきました。なんせ、ほんの20年前にはセキュリティと言われて想像するのは”警備”でしたから。現在、情報セキュリティ上の最も大きいリスクはIT関連です。「情報セキュリティ対策で効果的な方法はありませんか?」と質問されることがあります。 

皆さんは、最大の情報セキュリティ対策は何だと思いますか? 

それはネットワークを使わないこと、そして重要な情報やデータを持たないことの2つです。そもそもパソコンを企業だけでなく、個人で使うことが一般化したのはせいぜい30年前。インターネットはその数年後。それより前は、”オンライン”といってもデータ送信がいいとこ。

さて、ITで考えなければならない対策は以下となります。

・ネットワークやサーバー等のインフラ関連

・クライアント機器(デスクトップやノートパソコン、携帯端末、iphone、スマホ等)

・利用しているソフトウェア

・利用する要員のスキル、認識

 

【ちょっと寄り道】  

今回は、いつもの話からちょっと寄り道。

最近、何かと話題になるGAFA。ご存知、Google、Apple、Facebook、Amazonといった巨大IT企業の頭文字です。この4社とまったく取引がない組織、企業、人はほぼいないといっても過言ではありません。例えば、私はiphoneを使っているし、Facebookを利用しています。さらにパソコンではGoogleマップ等を使っています。ソフトウェア開発案件でも”AWS(Amazon Web Service)上での設計、開発が増えています。また、ソフトウェア開発を行っている企業でもAWSやG siteを利用している事例が多々あります。さらにクラウドサービスでもAWSやGoogleを利用したものが多くあります。今や、GAFAのどれかひとつでも重大なインシデントが発生するとビジネスや生活に多大な影響を出るといわれています。世界にそれだけの影響がある一方、リスクや問題をはらんでいるという指摘もあります。そのあたりは「the four GAFA-四騎士が創り変えた世界」(スコット・キャロウェイ著)をご覧ください。さて、私たち利用者からみて、問題点はおおよそ以下の通りと思われます。

・契約内容が片務であり、契約や条件変更も一方的

・webで検索した際、その結果の表示順位が不透明

・知りたい内容に辿り着くのに手間がかかかる、わかりにくい

・利用断金が割高

・登録、提供した情報の管理、保護が不透明

 

【GAFA包囲網? -GDPR-】  

2019年1月21日にフランスのデータ保護当局がGoogleに対して、GDPR違反を理由に5000万ユーロ(約62億円)の制裁金の支払いを命じました。GDPR違反により米企業に制裁金が課された初めての事例です。日本でもGAFAを巡って、いろいろな動きがありますが、この事例はGAFA包囲網とは言い切れないようです。

なぜ、Googleに制裁金が課されたのか?

その理由は主に情報提供の方法とその同意の取得方法にあります。

まず、Googleは情報提供者(本人)への情報提供が不十分で透明性が低いと判断されました。Googleは個人受法を取得する際、利用目的や法的根拠等を十分に本人に明示する必要がありますが、その方法が5回前後のステップを踏む必要があり、適切でないと認定されました。

さらに、広告やマーケティング活動で個人情報を取得する際、標準が”合意”となっていることから、本人が主体となった明確な同意に基づいていないと判断されました。同意は個人情報の利用目的毎に取得しなければなりませんが、Googleは包括的に取得しているため、個人情報の取扱いが本人の明確な同意に基づいていないと判断されました。

は、いつもの話からちょっと寄り道。

※ 参考 infoseek NEWS 他

 

【個人情報取得プロセスに問題あり??】  

日本でもGAFAに対して、独禁法での規制が検討されていることから、GDPRの考え方や動きがGAFA包囲網として捉えられがちです。フランスのデータ保護当局は2018年11月に”Vectaury”に対してもGDPR違反であることを警告しています。”Vectaury”"は日本でいうベンチャー企業で、広告主に代わってオンライン広告スペースを購入する会社です。同時に自社のアプリと連携してユーザーのデバイスやブラウザに関する位置情報等を収集できるツールを提供しています。この収集したデータを分析して広告主に代わって対象を絞り込んだ広告やキャンペーンを実施しているわけです。この一連のプロセスで取得するデータは個人情報であり、その取得にあたっての同意を得るプロセスがわかりにくい、煩雑といった理由でGDPR違反と判断されています。GAFAと共通しているのは、個人情報の取得、利用等に対するプロセスが適切でないと判断されていることです。どうも、GDPRは複雑なプロセスを得なければならないようなものは”違反”と判断するようです。

 

【情報セキュリティに取り組む ~委託先、提携先に対する対策~】  

会社の事業活動は外部との連携なくして、成り立ちませんが、ホテルの運営に関係する業者はどれだけいるでしょうか?

建物関連では、清掃業者、空調や電気等の設備(点検)業者。

宿泊者へのサービスでは、リネンのクリーニング業者、部屋に置いてあるコーヒーやお茶の仕入れ先。

レストラン等の運営を外部に委託してれば、その業者。

スタッフの派遣を受けていれば、派遣元の会社。

そして、ファストブッキング社のような予約サイト。

現在、ホテルの予約サイトは数多くあり、さらにそれらを比較するサイトも複数あります。

2016年9月に発表された「オンライン旅行取引サービスに関するアンケート結果」によると、ホテルを利用する際、90%の人がパソコンやスマホにより、webで予約しています。(国内旅行の場合でビジネス利用を除く)ちなみに、海外旅行だと80%と若干数字が下がります。考えてみれば、私もビジネス、観光を問わず、ホテルはいつもwebで予約しています。初めて行く場所だと、利用者の書き込みを参考にすることもあります。旅行代理店に勤めている知り合いが言うには、旅行代理店もかつては来店前提でスタッフを揃え、店舗の運営、パッケージ商品等を重視していましたが、今では最大のライバルはwebだそうで、強く意識しているそうです。

 

【情報セキュリティに取り組む ~委託先、提携先に対する対策その2~】  

今回は、以前書いたことのおさらいです。

2018年6月にファストブッキング社(欧州のホテル予約サイト)において、不正アクセス事件が発生し、日本国内約400のホテルから32万5千件のクレジット情報を含む個人情報が流出しました。これがGDPRに抵触する可能性があります。なぜ、当事者であるファストブッキング社だけでなく、そのサービスを利用していたホテルまでが対象となるのでしょうか?

GDPRの考え方は”事件や事故の発生=制裁金”ではないということです。

問われるのは、GDPRに対する姿勢。あるいは関連するプロセスを重視しているかどうかです。ホテル側が情報漏洩等、情報セキュリティに対するリスクを分析したか。

さらに予約という個人情報を取り扱う業務で、外部が提供するクラウドサービスを利用する、すなわち重要な情報の取扱い、保管を外部に委ねることに関するリスクを分析したか。

そのうえで、必要な対策をとり、委託先に対する管理・監督をしたか。

 

【情報セキュリティに取り組む ~委託先、提携先に対する対策その3~】  

委託先、提携先(以降、委託先とする)への対策は大きく、取引開始前のチェック、取引開始後の監視・監督があります。

〈委託先に関する取引開始前のチェック項目例 ~一般~〉

・情報セキュリティ(個人情報保護を含む)に取り組んでいるか

・当社のポリシーを受け入れるか

・ISOやPマークの認証、認定を受けているか

・定期的にトレーニングを行っているか

・人材は安定しているか(社員の入れ替わりは激しくないか)

・緊急事態発生時の連絡、対応の体制を整備しているか

()2018年6月にファストブッキング社(欧州のホテル予約サイト)において、不正アクセス事件が発生し、日本国内約400のホテルから32万5千件のクレジット情報を含む個人情報が流出しました。これがGDPRに抵触する可能性があります。なぜ、当事者であるファストブッキング社だけでなく、そのサービスを利用していたホテルまでが対象となるのでしょうか?

〈委託先に関する取引開始前のチェック項目例 ~クラウド利用~〉

・サーバー等の設置地域

・サーバーは多重化しているか(複数の地域によるバックアップ体制が整っているか)

・セキュリティ対策はどのようになっているか

・BCP(事業継続計画)を整備しているか

ただし、クラウドサービスプロバイダはこれらの情報を”セキュリティ”を盾に公開しないかもしれませんが...

 

【情報セキュリティに取り組む ~委託先、提携先に対する対策その4~】  

委託先、提携先(以降、委託先とする)への対策は取引開始前のチェックだけでは不十分です。取引を続けていると時間の経過とともに委託策自体に変化が生じている可能性があります。監視・監督という以上、定期的、宿祢区とも年1回程度は相手の状況を把握することが大切です。特にクラウドサービスを提供されている場合、知らない間に、本当はきちんと通知されているのですが、ユーザー側が気が付かないこともあるので、定期的に状況を把握することは重要です。

〈委託先に対する取引開始後のチェック項目例〉

・「調査票」の提出を求める

・経営層や幹部層と定期的に面会し、状況を把握する

・立入調査を行う

・IT関連であれば、システムの運用状況の報告を求める

・BCPの実施状況、検証作業の状況の報告を求める

 

【情報セキュリティに取り組む ~委託先、提携先に対する対策その5~】  

2018年9月6日午前3時過ぎに北海道胆振東部地震が発生しました。この地震はM6.7、震源の深さ37Km、最大震度7という大きな地震でした。この地震に関連して複数の企業から以下のような話を聞きました。(あくまでも聞いた話なので、事実と若干異なる可能性があることをご了承ください)

それらの会社はセキュリティ対策、社内の運用体制を考慮し、ホスティングサービスを利用していました。そのサーバーは北海道に設置されており、いずれの会社にも共通していたのはオプションであるバックアップサービスを契約していないことでした。地震発生後、ホスティングサービスを提供している会社から連絡がありました。

「48時間以内に停電が発生する可能性がある。停電が発生するとサービスを提供できなくなる」

連絡を受けた会社はアタフタしたそうですが、どうしていいかわからず、そうこうしている内に時間だけが過ぎていきました。結果的に停電は回避され、影響はなかったそうですが、場合よっては業務が停止した可能性があります。ま、バックアップ契約をしていない方にも問題はありますが...