欧州の制裁金を伴うプライバシー保護法制GDPR(Global Data Protection Regulation)が本格的に適用されるようになって2年目に入っているが、これまで隠されていた案件も「72時間以内に報告」という義務が課せられたからか、表に出るようになってきた。それにともない制裁金を課せられるケースも増えてきて、今回BA(British Airways)には250億円ほどの制裁金が課せられそうだと報道されている。
昨年8月までに、BAの利用者はニセのサイトに誘導されて、氏名・メールアドレス・支払い状況などの個人情報を盗まれた。9月に同社の発表によると、最大50万人(その後24万人と報告)の個人情報が盗まれたようだ。盗まれた情報が悪用されて、利用者にどのような被害があったかについてはわかっていない。情報は闇マーケットで売られたりするから、具体的な被害がまだ出ていないか気づいていない、関連が証明されていないだけかもしれない。
GDPRの規定によれば、制裁金は全世界での売り上げの上限4%か、2,000万ユーロとなっている。零細企業であっても、約26億円を課せられる可能性があるのだ。今回はその上限ではなく、BAグループの前年売り上げの1.5%に相当する額だという。当局はBAのシステムホールに相当の脆弱性があり、その改善を怠ったと見たようだ。BAはこれを不服として法廷闘争にうつるようだが、個人情報を盗まれたことは事実であり応分の制裁は覚悟していよう。
またホテルチェーンMarriott Internationalに対しても、昨年11月に発生した最大5億人の宿泊者情報が盗まれた件について、135億円の制裁金を課すと報道されている。今年の初め、Googleに62億円の制裁金が課せられたときは「また欧州のGAFAいじめか」とも思ったのだが、今回の立て続けにおきた巨額制裁を見ると、欧州(今回は英国)当局はかなり厳密にGDPRを適用してくるようだ。
日欧EPAも発効していて日本もGDPR対象国だから、欧州人のカスタマの情報を漏らしたり盗まれたりすれば制裁金が降って来る。小規模な企業だったら26億円でアウトかもしれないし、大企業でも年間売り上げの4%だったらダメージは大きく、株価は暴落しかねない。プライバシー保護のための社員教育や情報システムの整備では終わらず、悪意のサイバー攻撃にもしかるべき対処をしておかないと、企業の存続に関わるようになりましたね。
