プリンスホテルの情報漏洩
昨日(6/26)夕方発表されたプリンスホテルの情報漏洩の件、内容を読むと日本国内で発生した案件とは毛色が異なるのがわかります。
プリンスホテルは6月26日、同社が運営を外部委託する外国語予約サイトで不正アクセスによる2件のセキュリティインシデントが発生したと発表した。これにより、合計で約12万4963件の個人情報が漏えいした。
同社によると不正アクセスが発生したのは、英語と韓国語、中国語(簡体、繁体)による予約システムが稼働するサーバで、同社は運用をファストブッキングジャパンに委託し、サーバはファストブッキングジャパンの親会社Fastbookingが所有しているという。Fastbookingのウェブサイトによれば、同社は100カ国8000軒のホテルと提携し、年間120万のトランザクションを処理している。
また、プリンスホテルが6/26に提出した外部向け報告書です(PDF)。
https://www.princehotels.co.jp/file.jsp?id=117608
ファストブッキングによる報告書は以下のリンクです。
http://www.fastbooking.com/ja/newsfeeds/press-release-june-2018/
ポイント
本件、プリンスホテルは、サーバー運用を外部委託しています。その委託先はパリに本社を置くFastbookingです。ヨーロッパが絡んでいるのです。
ヨーロッパ圏と言えば、思い出されるのがGDPRです。今年5月25日に運用を開始した個人情報保護に関する規制のことを言います。
今回、直接の被害者はFastbookingなのですが、外部委託元であるプリンスホテルにはGDPRは及ぶのでしょうか。
適切な外注管理を怠ったことを理由として管理者が制裁金を賦課されたケースは、旧EUデータ保護指令(95/46/EC、以下「旧指令」)に基づくEU加盟各国の現行個人データ保護法制においても多数見られます。
(中略)
GDPRでは、個人データの処理に関与するすべての関係者(管理者、処理者、再処理者…)に対して、適切な保護措置を実行するとともに、データ主体の権利を保証するために必要な義務を課しています。また、管理者に対しては、それら関係者全員の義務履行を証明する責任(アカウンタビリティ責任)を課することによって実効性を確保しようという考えから、管理者の処理者(外注受託業者)に対する管理責任に関する規制が大幅に強化されました。
このように、旧指令を強化したGDPRにおいても管理者の責任は免れないと思われます。今回の場合、プリンスホテルが管理者、Fastbookingが処理者であり、個人データとしてヨーロッパの個人情報が含まれている可能性が高いと思います。
第二に、GDPRで有名な「72時間以内に当局に報告する」という件です。
欧州連合(EU)の新しい一般データ保護規則(GDPR)は2018年5月25日に施行開始となる。「EUデータ主体」に関するデータを集める全ての企業は、そのデータが侵害されたら72時間以内にデータ漏えいを報告する義務が生じる。ここでいうEUデータ主体とは、EU加盟28カ国の国民と居住者を指す。
上記のように、処理者たるFastbookingは、データが侵害されたことに気が付いてから管理者たるプリンスホテルに連絡しそこからヨーロッパの監督機関に報告する必要があります。72時間ですから、3日間のうちにちゃんと報告できたのでしょうか。
不正アクセスは6月15日と17日の2回発生し、20日にFastbookingが事態を把握した。15日の不正アクセスでは、2017年5月~2018年6月に43のホテルを予約したユーザーの5万8003件の個人情報(氏名、国籍、郵便番号、住所、電話番号、メールアドレス、予約金額、予約番号、予約ホテル名、チェックイン日、チェックアウト日)、17日の不正アクセスでは少なくとも2017年8月以前に39のホテルで予約したユーザーの6万6960件の個人情報とクレジットカード情報が漏えいした。
インシデントについてファストブッキングジャパン側は、22日と23日に電話およびメールでプリンスホテル側に事情を説明、24日には日本支社長が口頭と書面で報告したという。
20日を始点とみるかどうかについては議論となると思いますが、20日の正午を起点とすると72時間後は23日正午です。プリンスホテルがGDPRに基づいてヨーロッパ当局に通達したかどうかは非常に気になるところです。
ちなみに、Fastbookingは、システムをAWSに載せているようです。
Fastbooking – AWS Testimonial - Cloudreach France
Choosing AWS to support our important growth in Europe and Asia was easy.
AWS Enterprise Summit Paris | L'événement cloud des grandes entreprises
10h00 - 10h45 | Cloud is the new normal présentée par Mike Clayville
Avec les témoignages de :Regis Rogers, CTO, GE Renewable Energy
et Jean-François Paccini, CTO, Fastbooking
まとめ
今回の例は、日本企業がGDPRにおいて管理者となり、かつ外資企業へ外部委託し処理者となりました。GDPR運用開始上初めてのケースとなるのではないでしょうか。サーバー委託先の本社がパリにあることもあり、GDPR運用が全く働かないとは思えないのです。今後の展開を注視したいと思います。
追記
サーバーの場所について調べました。
外国語サイトは、https://www.princehotels.comです。
C:\>nslookup www.princehotels.com サーバー: UnKnown Address: *** 権限のない回答: 名前: fbcms-prince-1.wp-ha.fastbooking.com Address: 52.68.174.227 Aliases: www.princehotels.com C:\>nslookup 52.68.174.227 サーバー: UnKnown Address: *** 名前: ec2-52-68-174-227.ap-northeast-1.compute.amazonaws.com Address: 52.68.174.227
ということで、意外なことにAWSはAWSでも東京リージョンにサーバーがありました。ヨーロッパ内に無くてよかった、というより、これはこれでEU住民の個人情報がここに保管されていたらどうなるでしょうか。別のGDPRの側面から問題になると思われます。Fastbookingが、ヨーロッパ外、特に日本にデータを保管する許可をもらっているか否かです。下記の通り、日本はまだ「十分性認定」を認められていないため手続きが必要となっています。
EU、GDPRに基づく個人データの域外移転で日本の「十分性認定」を検討へ - ZDNet Japan
GDPR施行後にEU域外への個人データ移転を適法化するには? | マイナビニュース
おそらく専門家の見解が近々出ると思いますが・・。引き続き注目します。
2018/6/27 16:07
プリンスホテルが都内で会見したとの報道。
プリンスホテルが情報流出で会見、委託先のサーバーが不正アクセス受ける | 日経 xTECH(クロステック)
内容は既報の通りです。ただGDPRについては何のコメントもないようです。このまま日本国内の問題として処理されるのならば良いのですが・・。
2018/6/28 13:05
Fastbookingサイドの考えが、下記のPDFに表明されています(PDFファイル)。
一般データ保護規則に関するご案内 | Fastbooking
気になる記載を抜粋します。
EU圏内に所在していないホテルに適用される要件はどのようなものですか?
皆様のホテルがEU圏外に所在しており、EU市民または居住者に対して販売し、EU市民または 居住者を滞在させている場合、GDPRの影響を受けます。
つまり、今回のFastbookingのシステムで一人以上のEU市民が、プリンスホテルを予約しているのであれば、GDPRの影響を受けると明記してあります。
データ漏洩に関する ポリシーはどのようなものですか?
GDPRは、データ漏洩があった場合、データ管理者である皆様が、漏洩検知後72時間以内に監 督当局に通知する責任を負うと記載しています。 当該通知は、データ漏洩が個人の権利および自由へのリスクをもたらしかねない場合にのみ、必須となります。つまり、皆様が、自らの事業の目的のために処理している個人データの種類に基づき、監督当局への通知が必要か否かを決定するということです。
ここでの皆様はプリンスホテルですので、やはり監督当局への通知は必須のように見えます。
ゲストデータが海外へ転送されることはありますか?
パートナーとの接続を構築する旨の書面による要請を皆様から受領後、契約を確実に履行するためにデータをパートナーに転送することができます。 特定の状況下では、予約処理を目的として、データがEU圏外に転送されることがあります
そもそもサーバーはAWS東京リージョンにあるので、予約を受け付けている段階でデータ転送が成立しています。本来はさらっと書いていい部分ではないと思います。ここは専門家の見解が必要だと思います。
弊社は、主たるデータ処理者として、支払データ処理についてPCI-DSSを遵守しています。PCIDSSの遵守は、ホテルの認定評価につながるGDPR遵守の基盤を築くものです。
PCIDSSに遵守しているのならば、クレジットカード情報は暗号化等で保護されているはずですが、今回盗難された情報に入ってしまっています。この文書でうたわれていることと現実にギャップがあると思います。
もしヨーロッパ当局が今回の件で、プリンスホテル側をデータ管理者として認める場合は、プリンスホテルに何らかの接触があるものと思います。もし、それすらないのであれば、日本中で大騒ぎになったGDPR騒動はなんだったんだろう、という思いです。何せFastbookingはパリに本社のあるフランスの会社で、データ処理者として自身を宣言していますから、当局がデータ管理者に関心を持つのは当然であるからです。
今後の進展を注視します。