個人データを、ビジネスを守る、IIJ

オランダ 旅行ECサイトBooking.comを漏洩通知遅れで475,000ユーロの制裁金


Booking.comは、1996年、アムステルダムで設立された世界最大規模の旅行ECサイトである。米国NASDAQに上場しているBooking Holdings Inc.の100%子会社である。

Booking.comは、遅くとも、2019年1月13日にデータ漏洩につき把握していたのにも関わらず、当局へ2月7日まで通報しなかったということである。GDPR第33条によれば、管理者は、個人データ侵害に気づいた時から遅くとも72 時間以内に所轄監督機関に対し通知しなければならないことから、通知が遅れたことが処分の理由となった。

本件の経緯

本件は、2019年1月9日、アラブ首長国連邦のホテルで、その従業員を装った者から宿泊客に対して次のような電子メールが来たことから始まっている。

「拝啓 私の名前はXXXXXXです。私たちはオフィスからあなたのメールアドレスを取得しました。あなたの銀行カードは機能していません。支払いを試みるたびに、カード所有者の生年月日を尋ねられます。 1泊目の予約料金が450エミラティディルハムであることを保証するために、生年月日または別のカード番号をお知らせください。 敬具」

この結果、宿泊客は、従業員を装った者に、個人情報やクレジットカード情報を提供してしまったとの苦情が寄せられた。旅行会社からは、この予約経路での宿泊客の電子メールアドレスにはアクセスできないことから、Booking.comに電子メールで調査を依頼した。その後、続々と、Booking.com経由で予約した顧客から同様の苦情が寄せられた。

Booking.comのその後の調査により、アラブ首長国連邦の40のホテルがこのソーシャルエンジニアリング詐欺の被害者であり、4,109人のデータ主体の個人データが危険にさらされていることが明らかになった。未知の第三者はゲスト予約の詳細を含む予約サイトにログインすることができたようで、2018年12月19日がセキュリティインシデントの開始日であると判断された。被害者はヨーロッパ(イギリス、フランス、アイルランド、スイス、ベルギー、オランダを含む)および世界の他の地域(南アフリカ、アメリカ、カナダ、バーレーンを含む)に渡っていた。また、関連する個人データには、名、姓、住所、電話番号、チェックインおよびチェックアウト日、合計金額、予約番号、1泊あたりの料金、宿泊施設とゲスト間の通信、および283件のクレジットカードの詳細が含まれた。

この調査の後、Booking.comは、2019年2月6日に、APに報告する必要のあるデータ侵害があったと判断し、翌2月7日にオランダDPAに通知を提出したのであった。

オランダ当局は72時間以内の報告義務違反と判断

これに対して、オランダ当局の決定分によれば、以下の点で違反があったとしている。

Booking.comは、上述と同じ旅行会社より、2019年1月13日に2件目の通知を受けており、その際、ホテル側よりBooking.comが漏洩原因である可能性が高いと連絡していた。これにより、当局はこの時点で、漏洩を把握していたと判断している。

この時点で直ちに調査を開始する必要があったが、Booking.comは2019年1月31日まで調査を行わなかった。

これに基づき、GDPRの第33条第1項規定されている違反の報告に関する72時間の期間2019年1月13日に開始されたことになり、遅くとも2019年1月16日までに当局に通知する必要があったが、Booking.comは2019年2月7日になってこの通知を行ったため、22日遅れたことが確認されている。

【オランダ当局のニュースリリース】
https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-bookingcom-voor-te-laat-melden-datalek

【決定文】
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_boete_booking.pdf

関連情報

コンテンツ

執行事例関連コンテンツ

監督機関への通知関連コンテンツ

漏洩関連コンテンツ

旅行関連コンテンツ

オランダ関連コンテンツ

【eBook】
・ホテル・旅行・観光業界における世界各国のプライバシー保護規制対応

サービス

GDPR執行事例リスト

2018年7月17日~2020年8月31日までの、27ヵ国における事例261件の概要を一覧化して、比較分析しやすいようにまとめたナレッジです。この一覧により当局の取締り動向の全体像と、貴社で特に関心の高い国での摘発状況の傾向と必要な対策をプロアクティブに検討することができます。

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

IIJ DPO/CPO補佐サービス

IIJ DPO/CPO補佐サービスは、 IIJのプライバシー保護法コンサルタントがお客様のGDPR、及び各国プライバシー保護法により企業に求められるDPO(Data Protection Officer:データ保護責任者)とCPO(Chief Privacy Officer:最高プライバシー保護責任者)をサポートするアウトソーシングサービスです

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします。

関連記事