マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出
コメント
注目のコメント
米カリフォルニア州のCCPAの適応が気になりますね。
GDPR+CCPAだけでも途方もない罰金になるでしょう。
この時代にサイバーセキュリティに十分かつ適切な投資をしていないことが最大の間違いであり善管注意義務違反なのです。泣きっ面に蜂。パスポート番号のような個人情報含まれてると訴訟リスクがあります。コロナで痛んでいる人はわらをもつかむ思いで訴訟起こすかもしれません。クラスアクションもあるでしょう。漏洩一人当たり80ドル払ったら420億円分。2019年の利益の3分の1に当たります。
前回はイギリスのデータ保護当局(INFORMATION COMMISSIONER OFFICE)による子会社のデータ流出による約135億円制裁金の話でしたが、前回と異なる点としては以下の点が考えられるかと思います。
1, 前回と異なり今回は1月中旬に流出した事実を2月末に確認し報告するなど対応に関するスピードが速いということ(前回のStarwoodホテルのシステム脆弱性は2014年から問題視されており、2016年に買収したのちに2018年まで情報流出への対応が十分に行われていなかった→これは買収パターンでよくある話です。。)
2, 前回は流出以上にシステム含めたデューデリジェンスの責任が問題になったこと
この辺りは前回のICOの公表情報を参照ください
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
ですのでGDPRやCCPAなどの一部個人データ保護の規制があるにせよ前回ほどの大きなインパクトにはならないのではないかと考えられます。もちろん、セキュリティ不備に関しては問われる問題ではありますが、これは昨今のデータ流出の動きを見ているとマリオットに限らずどこの会社も気をつけるべきだとは思います。
