世界的なホテルチェーンであるマリオットインターナショナルで再びデータ侵害が発生


マリオットインターナショナルで従業員のログイン認証情報を使って顧客データへの不正アクセスがあり、データ侵害が発生

520万人の顧客データのデータ侵害

2020年3月31日、マリオットインターナショナルは、2020年1月に2人の従業員のログイン認証情報でゲスト情報に不正アクセスがあり、データ侵害が発生したと発表した。データ侵害したと考えられる情報は、最大520万人の顧客の

  • 連絡先の詳細(名前、住所、メールアドレス、電話番号等)
  • ポイントプログラムのアカウント情報(アカウント番号とポイントの残高等、パスワードは除く)
  • その他の個人情報(会社、性別、誕生日の月日など)
  • パートナーシップとの提携(リンクされた航空会社のロイヤルティプログラムと番号等)
  • 好み(部屋の好み、言語の選択等)

である。他方、アカウントのパスワード、カード情報、PINの詳細、パスポート情報はデータ侵害しなかったと考えられるが、まだ調査は進行中とのこと。マリオットインターナショナルは、顧客がクエリを送信し、当該顧客の情報がデータ侵害の対象となっているかどうかを判断するためのセルフサービスポータルを提供する。また、マリオットインターナショナルは関係を有するデータ保護監督機関に対して、データ侵害があったことを報告し、影響を受けた顧客に個人情報監視サービスを1年間無料で提供する。

前回の顧客データ侵害事件

マリオットインターナショナルは、以前にも約3億8300万人分の顧客のデータ侵害が発生している。その際のデータ侵害は、マリオットインターナショナルが2016年に買収したスターウッドホテルズが運用するシステムの脆弱性に起因するもので、2014年に発生していたが、2018年まで発見できなかった。前回のデータ侵害で、マリオットインターナショナルに対して、イギリスのデータ保護監督機関(ICO)は約9900万ポンド(約133憶円)の制裁金を課す意向であると発表し、トルコのデータ保護監督機関(KVKK)は145万トルコリラ(約2400万円)の制裁金を課している。

従業員認証情報からの不正アクセス

これまでも、日本の国内外を問わず、認証情報等が不正に利用されたことによるデータ侵害が発生している。認証情報等が不正利用されてしまうことは、その組織にとってGDPR(EU一般データ保護規則)であれば32条1項d号で定められている適切な技術上及び組織上の措置の違反、日本の個人情報保護法であれば20条で定められている安全管理のための必要かつ適切な措置の違反になるであろう。どんな組織にも認証情報等の不正利用のリスクは存在する。こういった不正利用がないよう、組織的な措置が重要である。

 

【今回のマリオットインターナショナルのプレスリリース(英語)】
https://mysupport.marriott.com/

【前回のデータ侵害についてのICOの制裁金の意向表明(英語)】
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

【前回のデータ侵害に対するKVKKのプレスリリース(トルコ語)】
https://www.kvkk.gov.tr/Icerik/5486/Marriott-International-Inc-Hakkinda-Kisisel-Verileri-Koruma-Kurulunun-16-05-2019-Tarih-ve-2019-143-Sayili-Karar-Ozeti

【従業員が勝手に不正アクセスし、データ侵害が発生したことにつき、15万ユーロの制裁金が課されたルーマニアの事例】
https://www.dataprotection.ro/?page=Comunicat_Presa_09_10_2019&lang=ro

 

 

関連記事