【処分事例】GDPR:マリオットホテルの情報漏えいは£99mil以上 の制裁金

各国の最新データプライバシー動向は、会員制データプライバシー情報サイトにて公開しています。

大阪、東京で開催!

GDPR&世界のデータ保護法対応セミナー
~ ここでしか聞けない世界のプライバシー動向の最新レポート ~

大阪会場は申し込みを終了しました。東京会場はあと5席空きがあります。

日時:
大阪会場: 7月23日(火)13時 ~ 16時 
東京会場: 7月25日(木)13時 ~ 16時 

テクニカ・ゼン株式会社では会員制データ・プライバシー情報サイトを開始しました。こちらの有用情報で記事を更新していますので、ぜひ、ご訪問・ご登録ください。

2019年7月9日の報告です。昨日に引き続き、巨額制裁の報告です。

イギリスの監督機関ICOが昨日のBritish Airwaysでのデータ侵害への制裁金に引き続き、2018年11月に発生したマリオット・インターナショナルによる大規模なデータ侵害への制裁金の内示を出しました。その額は£99,200,396、日本円にして約121億円です。

マリオットのサイバー事故では3億3900万人のゲストデータが漏洩し、そのうち約3千万人分のデータが欧州に所在するデータ主体のデータであったことがわかっています。

今回のデータ侵害の引き金になったのはスターウッドの脆弱なシステムでした。2014年から問題は発生していたにもかかわらず、マリオットが2016年買収したときにdue diligence が不十分で脆弱性を2018年まで発見できませんでした。

ICOの長官Elizabeth Denhamのコメントは以下です。

“The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected.

(組織は保有する個人データについて説明責任を果たす必要があるとGDPRは明確に述べている。企業の買収時に適切なdue diligenceを行うこと、どのような個人データが取得されたのかだけでなくどのように保護されているのかについて適切な説明責任を果たすこともここには含まれる。)

この件は昨日のBAのケースと同様、ICOが主監督機関として機能したケースです。

二日連続の巨額制裁については5月のIAPPのサミットで既に示唆されていました。GDPRのgrace periodは終わりを告げ、本格的な施行の実施というところでしょうか。

当社ではGDPR対応をはじめ、世界各国のデータ保護対応を支援しています。当社のデータ保護対応はプライバシー・フレームワークに基づいたものであり、拡張性をもったものとしております。また、世界中のプライバシーの専門家とのネットワークをもとに支援を提供しています。

コンサルティング、DPO、プライバシー・リードとしての業務のご依頼はこちらからどうぞ。

7月のセミナーも、まだ募集中です。

GDPR&世界のデータ保護法対応セミナー
~ ここでしか聞けない世界のプライバシー動向の最新レポート ~

東京会場はあと5席空きがあります。

日時:
東京会場: 7月25日(木)13時 ~ 16時