Opinion Brawte nfaq 0 Comments

オランダの監視機関は、Booking.comが顧客データの盗難を3週間以上隠蔽したとして、同社に47万5千ユーロの罰金を科した。

Table of Contents

オランダの監視機関は、Booking.comが顧客データの盗難を3週間以上隠蔽したとして、同社に47万5千ユーロの罰金を科した。

オランダのデータ保護当局は、Booking.com がウェブサイト経由でホテルの部屋を予約した 4,109 人のデータに犯罪者がアクセスしたことを通知するのが遅すぎたとして、同社に 475,000 ユーロの罰金を科した。

アラブ首長国連邦人事局(AP通信)は、犯罪者がソーシャルエンジニアリングの手法を使ってアラブ首長国連邦のホテル40軒の従業員からBooking.comアカウントのログイン認証情報を盗み出すことに成功したと報じた。

その後、彼らはユーザーの氏名、住所、電話番号、予約の詳細などのデータにアクセスした。さらに、(オランダ語からの翻訳で)次のように付け加えた。

Booking.comはThe Registerに対し、「社内システム(Booking.comのプラットフォームを動かすコードやデータベースは侵害されていない)」への侵入はなかったと語り、さらに「この事件はUAEのホテル40軒に限定されており、提携先がBooking.comアカウントのログイン情報をオンライン犯罪者に提供した」と付け加えた。

具体的には、AP通信の報道[PDF、翻訳]によれば、「身元不明の第三者がBooking[.com]エクストラネットにアクセスした。旅行代理店はそこでログインし、宿泊客の必要な予約詳細を[入手]する。」

監視機関は、エクストラネットに保存されていたデータには、氏名、住所、電話番号、チェックイン日とチェックアウト日、合計金額、予約番号、ホテルと宿泊客間のやり取り、そして283件の支払いカード情報が含まれていたと付け加えた。このうち97件にはカード認証コードが含まれていた。

オランダ企業は、通知遅延により47万5000ユーロの罰金を科せられた。AP通信によると、同社は2019年1月13日にデータ漏洩の通知を受けていたものの、監督機関への報告は2月7日まで行われていなかったと報じ、「22日も遅れている」と指摘した。

欧州一般データ保護規則第33条に基づき、企業は72時間以内に「データ侵害」を報告することが義務付けられています。

Google Workspace アカウントにログインするユーザーは、組織の利用規約に基づくコアサービスと、Google の利用規約に基づく追加サービスにそれぞれ同意する必要があります。どちらがいつ使用されるのでしょうか?これは複雑です。

オランダ政府:Google Workspaceの導入をブロックする「データ保護上のリスクが高い」項目は10項目?いや、8項目だ

続きを読む

影響を受けた顧客自身には、漏洩から22日後の2019年2月4日に通知が届きました。しかし、監視機関は[PDF]、Booking社は損害を最小限に抑えるための他の措置を講じており、その中には実費を負担した顧客への補償の申し出も含まれていると付け加えました。

ブッキング社は声明でザ・レグ紙にこう述べた。「影響を受けた顧客全員には2019年2月に通知し、その後は必要に応じて金融機関にチャージバックを請求するなど、全面的なサポートを提供した。」

遅延について、同社は次のように述べている。「残念ながら、この問題は社内で期待していたほど迅速にエスカレーションされませんでした。しかしながら、その後、継続的かつ反復的なプロセスである社内報告チャネルの速度と効率性をさらに最適化することを目指し、パートナー企業と彼らを緊密にサポートする従業員の間で、意識向上と教育を​​さらに強化するための措置を講じてきました。」

AP通信のモニーク・ヴェルディエ副社長は、この罰金について次のように述べた。「Booking.comの顧客は、ここで盗難の危険にさらされました。たとえ犯人がクレジットカード情報を盗んだのではなく、名前、連絡先、ホテル予約に関する情報だけを盗んだとしても、詐欺師たちはそのデータをフィッシングに利用したのです。」

「これは重大な違反だ」と彼女は付け加えた。

2018年にスターウッドホテルズで発生した大規模リーク事件(3億3900万人分のデータがホテルチェーンから盗み出され、マリオットは1840万ポンドの罰金を科せられたが、責任は認めなかった)ほどの規模ではないものの、遅延通知(第33条)による罰金は非常に稀であるため、注目に値する。企業は、例えば遅延について合理的な説明を行った場合、罰金を免除される。

Twitter、保護されたアカウントのバグについて沈黙を守ったとして罰金

AP通信が12月に下した決定は昨日公表されたばかりだが、それ以降、第33条に基づいて罰金を科された企業はわずか3社にとどまっている。そのうちの1社であるTwitter [PDF]は、アイルランド政府からバグの通知が遅れたとして45万ユーロ(50万ドル)の罰金を科された。このバグとは、「保護されたアカウントを持つTwitterユーザーがAndroid版Twitterを使用していて、メールアドレスを変更すると、バグによってアカウントが保護されなくなる」というものだった。

Twitter社は2018年12月26日にバグ報奨金プログラムを通じてこのバグについて知らされ、アイルランドの委員会に通知したのは2019年1月8日だった。同社はアイルランドのデータ保護当局に対し、このバグが保護されたアカウントを持つEUおよびEEAのユーザー88,726人に影響を与え、「以前は保護されていたツイート(アカウントの承認されたフォロワーのみが閲覧可能)が公開され、誰でも閲覧可能になった」ことを確認した。

Bookingはアムステルダムに本社を置いているため、オランダのデータ保護当局による判決が下された。しかし、AP通信は、同社は他の欧州のプライバシー規制当局と共同で「国際調査」に取り組んでいると報じた。

ナスダック上場のブッキング・ホールディングス社の間接子会社である宿泊予約会社にとって、今年は素晴らしい年ではありませんでした。2020年度の収益[PDF]はわずか67億9600万ドルで、前年の151億ドルから減少し、純利益は5900万ドルで、2019年度の49億ドルから減少しました。®

Opinion

Smart Recommendations

Discover More