英国情報コミッショナー事務局は、ウェブサイトとモバイルアプリのサーバーから顧客記録が盗まれたことを受けて、ブリティッシュ・エアウェイズに対し、1億8,339万ポンドという巨額の罰金を科す可能性があると警告した。
欧州一般データ保護規則(GDPR)に基づくこの記録破りの罰金は、BAが保有する747-400型機のうち1機の価格の下限とほぼ同額で、2017年のBAの世界的収益の1.5%に相当する。
エリザベス・デンハム情報コミッショナーは次のように述べた。「人々の個人データは、まさにその名の通り、個人的なものです。組織がそれを紛失、破損、盗難から保護できない場合、それは単なる不便以上の問題です。だからこそ、法律は明確に定めています。個人データを託された者は、それを適切に管理しなければなりません。そうしない組織は、私の事務所から、基本的なプライバシー権を保護するための適切な措置を講じているかどうかについて、精査を受けることになります。」
セキュリティ侵害は約50万人に影響を及ぼしました。ICOの声明によると、サイバー侵入は2018年6月に開始されたとみられていますが、BAの以前の声明では8月下旬に開始されたとされていました。データ監視機関は、この攻撃はBAのサイトから不正サイトへユーザートラフィックを誘導するものだったと説明しています。
ICOの調査員は、ログインの詳細、カード番号、名前、住所、旅行情報など、さまざまな情報が漏洩したことを発見した。
チケットマスターにも被害を与えた、高度なカードスキミング集団「Magecart」が、今回のデータ窃盗の犯人とされています。同集団は、BAのウェブサイト上で実行されているサードパーティ製のスクリプト(おそらくはJavaScriptの改変版)を悪用し、同航空会社の決済システムにアクセスしたとみられています。
このようなスクリプトは、マーケティングやデータ追跡機能のサポートや外部広告の実行によく使用されます。
ブリティッシュ・エアウェイズ:38万人の乗客がハッキングされた事件で取り残されたと感じているなら、あなたは18万5000人の犠牲者の一人かもしれない。
続きを読む
同レグは、ハッキングが行われる直前に、BAの親会社であるIAGがIBMにサイバーセキュリティを外注することについてスタッフと協議していたことを明らかにした。
ICOは主任調査官として活動したが、他の複数の欧州連合(EU)規制当局とも連携した。ICOによると、BAは調査に協力し、サイトのセキュリティ強化を行ったという。
BAと他の規制当局には、罰金の減額を求める申し立てを行うのに28日間の猶予が与えられている。
これに対し、航空会社は、全面的に協力したにもかかわらず盗難カードが使用された証拠が見つからなかったため、罰金には失望していると述べた。同社は、この決定に対し異議申し立てを行い、控訴する意向を示した。
ICOの声明はここにあります。®
