英国監督機関ICO、マリオットインターナショナルに対し9900万ポンドの制裁金を表明


イギリス監督機関(ICO)、マリオットインターナショナルに対し9900万ポンドの制裁金を表明

7月9日、イギリス監督機関ICOは、世界的なホテルグループのマリオットインターナショナルに対し、約9900万ポンド(約133憶円)の制裁金を課す意向であると発表した。

この制裁は、2018年11月にマリオットインターナショナルからICOに通知があった顧客データ漏洩に対するもので、全体で約3億3900万人分の顧客データが漏洩し、うちEEA域内の顧客データは31か国約3000万人分だったとされる。

ICOの発表によると、データ漏洩はマリオットインターナショナルが買収したスターウッドホテルズが運用するシステムの脆弱性に起因するもので、2014年に発生。マリオットインターナショナルはスターウッドホテルズを2016年に買収したが、データ漏洩は2018年まで発見できなかった。

ICOは、マリオットインターナショナルがスターウッドホテルズを買収した際の、個人データ管理に関するデューディリジェンスが不適切であり、その時点で顧客データのセキュリティをさらに改善すべきだったと指摘、今回の処分に至ったものである。

ICOコミッショナーは声明で、「企業の買収にあたっては適切にデューディリジェンスを実施し、どのような個人データが取得されたかだけでなく、個人データがどのように管理されているかの評価についても説明責任を果たせるようにするべきである。さもなければ、我々は市民の権利を保護する必要がある場合、強力な措置をいとわない」と表明している。

ICOは、マリオットインターナショナルや他の監督機関からの説明を踏まえ、最終的な処分を決定する見込みである。

Statement: Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト