GDPR に違反した Booking.com に $560,000 の罰金

Booking.com fined $560,000 for GDPR data breach violation

2021/04/06 PostSwigger — 旅行サービスサイトの Booking.com だが、義務づけられた期間内にデータ漏洩に関する報告を行わなかったため、GDPR 法に基づく €475,000 ($560,000) の罰金を科せられることになった。

オランダに本社を置き、宿泊券や航空券を提供している同社では、2018年にデータ流出が発生し、4,100人分以上の個人情報や財務情報が、オンライン上で公開されしまった。電話を用いる詐欺師たちは、アラブ首長国連邦のホテルをターゲットにして、従業員 40人分の Booking.com ログイン資格を得て、同システムにアクセスしていった。その後、4,100人分のユーザー・データが盗み出されたが、その中には、283人分のクレジットカード情報および、97人のカード・セキュリティ番号も含まれていた。

この記事によると、「オランダの DPA による罰金は、この事件に関する通知が遅れたことに対するものであり、Booking.com のセキュリティ対策や、事件全体への対応とは無関係だと」と、Booking.com の広報担当者はコメントしたようです。つまり、いくつかのホテルがオンライン詐欺にあって、Booking.comアカウント のログイン情報が漏えいしたが、同社のプラットフォームを動かすコードやデータベースへの危害はなかったということなのでしょう。

ただし、この不審な行動について報告を受けた後に、今回の問題を迅速にエスカレーションできなかったことは認めているようです。とても厳しい GDPR ですが、戦争のたびに移動する国境を逃げ惑い、身分を偽らないと命までも脅かされるという、悲惨な経験を積んできたヨーロッパの人々にとっては、個人情報保護とセキュリティ・プロセスの根本から改善が必須なのでしょう。

%d bloggers like this: