British Airways agrees to pay victims of record-breaking data breach
2021.07/07 DailySwig — British Airways (BA) は、42万人以上の顧客の個人情報が流出したインシデントにおいて、法廷外での和解に達した。被害者たちの代理人である国選法律事務所 PGMBM との合意に基づき、BA は数千人の請求者に対して非公開の金額を支払う。ただし、この解決策は、航空会社側の責任を認めるものではない。
PGMBM の Harris Pogust 会長はステートメントにおいて、「今回の解決は、データ事故の影響を受けた人々にとって、非常に前向きでタイムリーな解決を意味する。BA との間で、このプロセスを解決することができたペースとして、法制度が大量データ・インシデントを真剣に受け止めていることが示されており、とても心強い」と述べている。The Daily Swig からのコメント要請に対し BA は、「この問題で影響を受けた可能性の顧客に謝罪するするとともに、集団訴訟を解決できたことを嬉しく思う。この問題が発生したとき、我々は顧客の保護を最優先に考え、情報を提供するために迅速に行動した」と述べている。
2018年に BA の決済処理インフラが Magecart 方式でハッキングされ、無防備な被害者が悪意の Web サイトに誘導され、氏名/決済カード詳細/郵便住所/電子メールアドレスなどが、15日間にわたって収集されたことが、このインシデントの中心となっている。また、BA の従業員および、Executive Club アカウントのログイン認証情報もアクセスされる可能性があった。この1月に PGMBM は、16,000人以上の被害者が補償請求を行ったと発表している。
PGMBM は、「被害者への補償額は最大で £2,000 になり、BA の責任総額は £800 million になる」と推定している。General Data Protection Regulation (GDPR) 違反に対する罰金は、£183 million という記録的な金額になるところだったが、昨年の Covid-19 による BA への経済的影響を考慮した結果、UK Information Commissioner’s Office (ICO) は £20 million に減額した。しかし、この金額は、ICO における最大の罰金額であり、2018年の GDPR 発効後に欧州の規制当局が課した罰金としても、4番目の規模となる。
問題が解決して良かったですが、被害者の補償金請求を支援するための Web サイトにおいては、この事件によりクレジットスコアに傷がついたという被害者の声を、PGMBM は紹介しているようです。BA は金銭的損失を被った顧客には弁償金を支払い、影響を受けた顧客には 信用格付けのモニタリングを提供したが、顧客が被る可能性のある将来的な影響については考慮していない。つまり、BA の対応は不十分だと指摘されているようです。また BA は、厳格なテストや、多要素認証によるアカウント保護を行わなかったという点で、安価で技術的にも簡単なセキュリティ対策を実施しなかったと、批判されているとのことです。
IoT OT Security News 