個人データを、ビジネスを守る、IIJ

英国 ICOがチケットマスターのセキュリティ対策違反に制裁金125万ポンド


制裁金125万ポンド(約1億7千万円)

2020年11月13日、英国データ保護監督機関(ICO)は、英国のチケット販売会社 Ticketmaster UK Limited (以下「チケットマスター」)に対して、制裁金125万ポンドを課すことを公表した。

事案の概要

適切なセキュリティ対策を講じていなかったため、チケットマスターのオンライン決済ページにインストールされたチャットボットを通じて、サイバー攻撃者は顧客の財務詳細にアクセスできる状態にあった。2018年2月、Monzo銀行の顧客がカードの不正な取引があることを指摘し、その後もオーストラリアのコモンウェルス銀行、バークレイカード、マスターカード、アメリカン・エキスプレスが、チケットマスターに対して詐欺の可能性を報告した。また、Twitterを通じてチケットマスターに「チャットボットに問題があるのではないか?」という情報提供があった。しかし、チケットマスターは、これらの情報を上手く拾い上げることが出来ず、サイバー攻撃自体の把握やその原因の特定に時間がかかり、チャットボットが削除されたのは2018年6月23日であった。
ICOの報告によると、英国では150万人、ヨーロッパ全体では940万人のチケットマスターの顧客の名前、支払いカード番号、有効期限、CVV番号等が漏洩した可能性があるという。また、バークレイズ銀行の顧客が所有する6万枚の支払いカードがすでに発覚している詐欺にあっていたことが確認された。Monzo銀行は、不正使用が疑われた後、6千枚のカードの交換を行っている。

制裁理由

ICOは、次のことをすべきであったとする。

  • 支払いページでチャットボットを使用するリスクを事前に評価する
  • リスクを軽減するための適切なセキュリティ対策を特定して実装する
  • 指摘された不正行為の原因をタイムリーに特定する

これらの適切な組織的・技術的措置を怠ったことはGDPR第5条第1項f号及び第32条に反するとされた。なお、2018年2月から同年6月23日までデータ侵害があったが、GDPRが施行された2018年5月25日以降が今回の制裁対象となる。また、新型コロナウイルスによる売り上げの減少も考慮されて制裁金額は決定された。

【ICO プレスリリース】
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/11/ico-fines-ticketmaster-uk-limited-125million-for-failing-to-protect-customers-payment-details/

【ICO  Ticketmaster UK Limitedに対する制裁の決定文】
https://ico.org.uk/media/action-weve-taken/2618609/ticketmaster-uk-limited-mpn.pdf

関連情報

★ソリューション・コンテンツ

制裁事例関連ニュース・コンテンツ

GDPR関連ニュース・コンテンツ

★サービス

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

関連記事