このページの本文へ

日本企業初の「GDPR」違反の可能性、プリンスホテルなど

2018年07月09日 06時00分更新

文● 週刊ダイヤモンド編集部(ダイヤモンド・オンライン

  • この記事をはてなブックマークに追加
  • 本文印刷
ホテル予約サイトで日本企業初のGDPR違反の可能性
ホテルにとってサイトでの予約は欠かせないツールだが、欧州でGDPRが施行され、個人情報に対する取扱いがますます厳しくなってきた Photo:Yagi Studio/gettyimages

欧州のホテル予約サイトで先月末、不正アクセス事件が起き、同サイトに業務委託していたプリンスホテルや藤田観光など国内ホテル宿泊者の個人情報が漏えいしたことが発覚した。5月施行の欧州の新たな個人情報保護規制、GDPRに違反する国内初の事例となる恐れも出ている。(「週刊ダイヤモンド」編集部 大坪稚子、宮原啓彰)

 先月末、日本のホテル業界に激震が走った。フランスのホテル予約サイト「ファストブッキング」のサーバーが同月、2回にわたり不正アクセスされ、欧州からの宿泊者の氏名や住所、クレジットカード情報が流出したことが判明したからだ。

 ファストブッキング社によれば、日本国内の401カ所のホテルから計32万5717件の個人情報が流出したという。流出したのはプリンスホテルや藤田観光、ホテルモントレなどの宿泊者情報やクレジットカード情報だ(表参照)。不幸中の幸いで、ファストブッキング社と各ホテルによれば、これまでにクレジットカードの悪用は確認されていない。

 だが、この一件が単なる情報漏えい事件にとどまらないのは、今年5月に施行された欧州の新たな個人情報保護規制、GDPR(一般データ保護規則)に違反する可能性が指摘されるからだ。実際、漏えいした大手ホテルは「今回のケースはGDPRに抵触するという前提で調査、対応を進めている」としている。

管理者責任の強化で
外注先のミスでは済まされない

 GDPRとは、EU加盟国に欧州3カ国を加えたEEA(欧州経済領域)域内31カ国に所在する全ての個人データの厳格な保護を目的としたもので、IPアドレスなどインターネット上の情報をも含めて「個人情報」とし、その処理(収集や保管)に厳格なルールと、違反者への高額な制裁金を定めている。例えば、個人データのEEA“域外”への持ち出しは原則禁止。GDPR違反には、最高で世界売上高の4%か2000万ユーロ(約26億円)のいずれか高い方の制裁金が科せられる。

 問題は、GDPRがその事業規模や本社が所在する国・地域を問わず、EEA域内の個人情報を処理するほぼ全ての組織にも「域外適用」される点だ。つまり、本誌6月2日号の特集「GDPRの脅威」で報じたように、EEA域内の個人情報を扱う日本企業も対象となる。

 それ故、GoogleやFacebookなど米国のIT企業が施行当日にプライバシー保護団体に提訴され、片や米紙「ロサンゼルス・タイムズ」や「シカゴ・トリビューン」など一部のEEA域外サイトが、GDPR対策が終わっていないことを理由にEEA域内からのアクセスを遮断するといった、混乱が生じたのだ。

 今回のケースをGDPRに照らし合わせると、ホテルは個人情報の「管理者」、ファストブッキング社は個人情報の処理を外部委託された「処理者」という立場として位置付けられる。GDPRに詳しいバード・アンド・バード法律事務所パートナーの杉本武重弁護士は「一般論として、欧州の処理者から管理者が個人情報を受け取っているとすれば、域外適用になる可能性が高い」と指摘する。

 注意したいのは、GDPRはデータ侵害の発覚をもって即、制裁金を科すという類いの法律ではないことだ。監督機関がより重視するのは、GDPR対策への姿勢で、取り扱う個人情報の中身や個々の企業の事情に見合ったセキュリティー対策をしっかりとその組織が行っていたのかといった、取り組みのプロセスだ。

 例えば、今回のケースでは、ホテル側が情報漏えい時のリスクを分析し、必要なセキュリティー対策を予約サイトに指示し、その順守をチェックしていたのか、はたまたホテル側が情報漏えい発覚から72時間以内に欧州の監督機関への通知を行ったのか、といった点が問われるとみられている。その上で、当局から管理者としてGDPRに則した適切な対策を行っていないと見なされれば、制裁金が発生する可能性が出てくる。

 実際、プリンスホテルは「72時間以内に日本の個人情報保護委員会とフランスの当局に通知した」(同ホテル幹部)と明かした。

 だが、プリンスホテルのようにGDPRを順守する対応を行っているのは一部だ。ファストブッキング社から従前、GDPRへの対応を求められていたにもかかわらず、今回の漏えい発覚後も、何ら対応をしていないホテルも多い。大手ホテルグループは「本件はGDPR適用範囲外と考えている。当局にも通知していない」とする。

 もちろん現状では、今回の件に当局が制裁金を科すのか否か、科すにしても、被害状況から制裁金には発展しないとの見方もある。

 だが、それはあくまで結果論。1995年に策定されたGDPRの前身、「旧データ保護指令」の下では、今回と同じく処理者の個人情報漏えいで管理者側にも制裁金が科せられたケースは少なくない。

 かねて欧米に比べてGDPR対策が大幅に遅れているとされる日本企業。今回のケースを他山の石とした方が賢明だ。


※本記事はダイヤモンド・オンラインからの転載です。転載元はこちら

カテゴリートップへ

最新記事
最新記事

アスキー・ビジネスセレクション

ASCII.jp ビジネスヘッドライン

ピックアップ