個人情報が流出した英航空会社、GDPRで250億円の罰金支払いへ

EUのGeneral Data Protection Regulation (GDPR) により、オンラインのデータ・セキュリティに関する厳格な運用が始まっています。EUと日本のEPA(経済連携協定)の取り決めで一時期話題になりましたよね。このEUの取り決めに違反した場合は、企業は多額の罰金を科せられますが、英国情報コミッショナー事務局(ICO)は、GDPRに基づいて英航空会社「ブリティッシュ・エアウェイズ」に、過去最高の2億3000万ドル(約250億円)の罰金を科しました。

ブリティッシュ・エアウェイズは昨年、セキュリティー侵害を受けたことを昨年9月に公表しました。訪問者は偽のウェブサイトに誘導され、名前、請求書、電子メールアドレス、支払い情報などの個人情報が盗まれており、約50万人がその影響を受けました。

英国のデータプライバシー規制当局であるICOは、顧客のデータを保護しなかったことが判明した後、ブリティッシュ・エアウェイズに1億8339万ポンド(2億3000万ドル、約250億円)の罰金を科した。ICOは、この事件はBAの「貧弱なセキュリティ」の結果だと分析しています。

現在GDPRが施行されており、ブリティッシュ・エアウェイズが1年間に売り上げた売上高の1.5%に相当します。この罰金は航空会社にとってかなり高額であり、一方で航空会社の利益率は低いため、2億3000万ドルの罰金額は間違いなく厳しい判断と言えるでしょう。

ブリティッシュ・エアウェイズのアレックス・クルーズ会長兼最高経営責任者は、「英国航空は、顧客のデータを盗む犯罪行為に迅速に対応した。」と述べ、同社はこの決定を上訴する予定。

企業にとっては不服でも、こうした高額な罰金が企業のセキュリティに対する認識を改めるのであれば、ユーザーにとっては喜ばしいこと。罰金額のあんばいは難しいところですが、完全なシステムは存在せずとも、各企業がセキュリティ性をもっと高めてくれたら、ユーザーとしては嬉しいに越したことはありませんよね。

この記事は、編集部が日本向けに翻訳・編集したものです。

原文はこちら