ブリティッシュ・エアウェイズはGDPRに違反したのでしょうか？

世界の多くの企業は、どこが新しいGDPR規制の下での先例になるだろうかと、戦々恐々としています。GDPRの下では、規制に違反した企業は、厳しい罰金を科せられたり、民事訴訟を起こされたりする可能性があります。

GDPRは2018年5月25日から実施されていますが、多くの企業はこの新しい規制が施行される何ヵ月も前から（あるいは１年以上前から）準備をしてきました。一方、データ漏洩や監査に備えるための体制の整備がまだ進行中の企業も数多くあります。実は、GDPR自体についてもまだ完全には詳細まで明確になっていないところも残っているようですが、だからと言ってEU在籍者の個人情報を処理し管理する企業がGDPR違反による処罰を免れられるというわけではありません。

どこがGDPRの先例になるでしょうか？

GDPRの究極的な有効性は、最初に違反を指摘された企業がどのように調査され、あるいは訴訟に発展するのかによって、評価が定まると考えられてきました。そして今、GDPR違反を問われるかもしれない最初の大手企業の名前が取り沙汰されています。それは、ブリティッシュ・エアウェイズです。

GDPR違反の疑いでメディアの注目を集める最初の大企業が航空産業に属することは驚くべきことではありません。航空業界は数年前からサイバーセキュリティへの取り組みの不徹底さが問題視されていました。航空業界は利益率が低い中での事業運営を強いられているため、データセキュリティを最優先事項とする考えは経営幹部の頭には浮かばないのでしょう。

航空会社には、作成されてから30年以上も経過しているシステムがあると、退職した元従業員やセキュリティ専門家が指摘しています。そして、そのような古いシステムは、新しいウェブサービスに接続されています。従来からある古いシステム、特に顧客の個人データを処理するシステムは、航空業界では中核システムであり続けています。

情報セキュリティは常に最重要課題であるべきなのですが、最近になってようやく航空会社でも情報セキュリティの問題をもっと深刻に捉えて対策を立てようという機運が高まってきました。

EUはGDPR違反の先例にするためにブリティッシュ・エアウェイズをねらっている？

今年9月、ブリティッシュ・エアウェイズは380,000件のトランザクションが影響を受けた大規模なデータ侵害の被害者になりました。データには、2018年8月から9月の間に航空会社とのトランザクションが発生した顧客の財務情報が含まれています。

GDPRの制定には、制度を整えて違反者を厳格に罰することができるようにするという目的もあります。EU在籍者の個人データを処理するすべての企業は、GDPRの規定を遵守する必要があり、個人データの漏洩のようなことがあれば、その企業がとった行動（またはその欠如）について調査されます。GDPRに違反すると、最高で年間売上高の4％という莫大な罰金が科されます。場合によっては財政破綻さえ招きかねません。ブリティッシュ・エアウェイズぐらいの大企業にとってはかすり傷ですむレベルかもしれませんが、中小企業には財政負担は重くのしかかってきます。

ブリティッシュ・エアウェイズの場合、データ侵害を速やかに報告し、問題を周知するため新聞広告も掲載しました。こういった対処は推奨されるべき対応であり、GDPR担当委員による精査は開始されないかもしれません。しかし、ブリティッシュ・エアウェイズが、同社のWebアプリケーションが完全に安全ではないことを1年前には知っていたという証拠があります。これは厳密な調査に着手するべき状況です。少なくとも、 GDPRの有効性を証明する機会になるはずです。

関連ブログ: GDPR 一般データ保護規則の詳細 - 原則2と原則3

ブリティッシュ・エアウェイズは調査が入るのを避けられたでしょうか？

ブリティッシュ・エアウェイズがGDPR違反企業としての扱いを受けるのかどうかを、多くの企業が注目しています。その動きがあるのか、どのような状況になっているのかは、まだ見えてきません。

このタイプのデータ侵害の被害にあっているのは、実はブリティッシュ・エアウェイズだけではありません。デルタ航空も4月に同様のデータ侵害を受けました。この時点でGDPRが施行されていれば、デルタ航空もGDPR違反を問われていたかもしれません。

これらのデータ侵害の多くは、ウェブサイトで支払い情報を収集する電子商取引を実行するために使われているサードパーティーのスクリプトに問題があったために起こったことが判明しました。同様のWebベースのカードスキマーに関する過去の証拠から、このケースは、Magecart のハッカーが犯人のようです。

こうしたタイプのサプライチェーン攻撃については、RiskIQ が報告しています。RiskIQ のブリティッシュ・エアウェイズの事件についての詳細な分析は、こちらに記載されています。

自社のウェブサイトにサードパーティーのスクリプトを使いますか？

ウェブサイトのためにサードパーティーのコード、スクリプト、ツール、プラグインを使用すると、開発のスピードを上げることができます。よく行われる方法であり、多くのメリットがありますが、サードパーティーのコードを実装する場合、特に個人データを取り扱うウェブサイトでは、企業は極めて注意深く配慮する必要があります。Web開発者は、サードパーティーのものを使えば独自のコードを記述してテストする必要がないため、作業が楽になります。しかし、何年も更新されていない、あるいはもうサポートされていないサードパーティーのスクリプトやプラグインを使用することも多いようです。

では、サードパーティーのスクリプトを使用するのを完全に避けるべきでしょうか？実際にはアプリケーションによりますが、ツールやスクリプトの脆弱性につけこんだサプライチェーン攻撃が増えているので、使用しているスクリプトが本当に安全であるか厳重に確認することは大変重要です。フリーでオープンソースのツールは便利で手軽で予算もくいませんが、個人データを取り扱うサイトを開発する場合は、コードやプラグインを定期的に更新するベンダーと協力するのが賢明でしょう。

今の時点では、監督当局がブリティッシュ・エアウェイズのデータ侵害にどう対処しようとしているのか様子見をするしかありませんが、それがGDPRコンプライアンスを徹底しなくてもいいという言い訳にはならないことは確かです。