イギリス監督機関ICOがキャセイ・パシフィック航空に50万ポンドの制裁


イギリス監督機関ICOがキャセイ・パシフィック航空に50万ポンドの制裁

イギリス監督機関ICOがキャセイ・パシフィック航空に対し、顧客データの侵害を理由として50万ポンドの制裁金を決定した。

同社の個人データ侵害は、2018年に同社情報システムのActive Directoryに対するブルートフォース攻撃により探知された。その後同社は、外部の情報セキュリティ専門業者によるシステム調査を実施し、2014年10月に情報システムに対する初めての不正アクセスがあったことを確認した。2015年7月から2018年5月にかけて個人データに対する不正アクセスがあったことも判明した。調査の結果、個人データ侵害に関係するデータ主体の数が全世界で約940万人、そのうち約23万人がEEA域内で、約11万人がイギリス在住者であることが明らかになった。被害を受けたデータは、氏名、国籍、誕生日、電話番号、メールアドレス、住所、パスポート番号、身分証明書番号、フリークエントプログラム会員番号、旅行履歴だった。

顧客からの苦情申し立てを受け、ICOが調査を開始したところ、情報システムや情報管理において以下の不備が確認された。
① データベースのバックアップデータが暗号化されていなかった
② インターネット向けサーバが、既知かつ公開された脆弱性によりアクセス可能状態だった。
③ 管理者コンソールがインターネット経由でアクセス可能だった。
④ 情報システムを運用するOSがすでにサポート切れだった。
⑤ 同社がサーバの堅牢化を証明できなかった
⑥ ネットワーク利用者VPN認証が多段階化されていなかった。
⑦ ウイルス防護が不適切だった。
⑧ パッチ管理が不適切だった。
⑨ ICOの調査において、同社によるデジタルフォレンジックの証拠が提供されなかった。
⑩ アカウントへの特権付与が不適切だった。
⑪ ペネトレーションテストが不適切だった。
⑫ 情報の保存期間が不必要に長く設定されていた。

情報システムおよび情報管理上の不備の内容、データ侵害の影響を受けたデータ主体の数等の要素を考慮し、ICOは旧データ保護法上最大の制裁金額となる50万ポンドの制裁を同社に課す決定を下した。

イギリスでは、国内小売チェーンがPOSシステムを適切に更新しなかった事により、外部からの不正アクセスで顧客データが漏洩する事案も発生し、ICOは本事案と同様に50万ポンドの制裁金を課した。顧客データを自社システム上で管理・使用する企業は、システムのセキュリティを常に良好な状態に維持するための保守を確実に実施するほか、ビジネス上の重要性が低い個人データを整理するなど、個人データ侵害リスクの低減に努めることが必要である。

ICOニュースリリース
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/03/international-airline-fined-500-000-for-failing-to-secure-its-customers-personal-data/?utm_source=twitter&utm_medium=iconews&utm_term=63d3d36e-30e7-48f2-aa18-cabedcb4f886&utm_content=&utm_campaign=
ICOの処分書
https://ico.org.uk/media/action-weve-taken/mpns/2617314/cathay-pacific-mpn-20200210.pdf

関連記事