サイバーリスク：大幅に減額された制裁金の決め手となったのは

250億円もの制裁金

欧州でEU一般データ保護規則（GDPR）が施行された2018年。
同年、英大手航空会社ブリティッシュエアウェイズから40万人以上もの顧客に影響を与える情報漏えいが発生した。

その中には個人の名前や住所、カード番号やCVV番号（カードの裏面等に記載されており、オンライン決済などで用いることもある）、リワードプログラムのユーザ名と暗証番号なども含まれていた。
そして、この中にはGDPRが適用される域内在住者をデータ主体とする個人データも含まれていることから、2019年7月に英データ保護監督当局より同社に対して実に1億8,339万ポンド（およそ250億円）もの制裁金が通知されている。^*1

情報漏洩へと発展した経緯はこうだ。
同社サプライヤのログイン情報が侵害され、これを用いて同社ネットワークへ不正侵入。そこからネットワーク内を横移動し管理者権限を得て、ウェブサイトを改ざん。
改ざんされたウェブサイトへアクセスした一般の利用者や従業員たちは偽サイトへ誘導され、そこで入力してしまった情報が盗まれている。
更にこの事件は、2ヶ月以上後に第三者から指摘されたことで発覚している。

ただ一社でも脆弱であれば

この事件を受け2019年7月に監督当局から制裁金額が公表され、GDPR史上最高額とも言える1億8,339万ポンド（およそ250億円）もの制裁金に世界中が驚愕した。
監督当局によると、同社が適切なセキュリティを確保した上で顧客の個人データを処理していなかったことを重大な要因の一つとして指摘している。
例えば、個人データの含まれないシステムであっても、個人データを含む他のシステムへの更なるアクセスへと繋がる可能性がある場合には、従業員やサードパーティによるリモートアクセスに多要素認証もしくは適切な代替手段が用いられていることを監督当局は期待している。

ところで、今回サプライヤが踏み台となったことが事件の発端ではあるが、このようなやり方は悪意ある者の視点からいけば「当然」の流れだろう。
今や政府機関や大手企業であれば、相応のセキュリティ対策を講じるようになってきている（全てがとは言わない）。
しかし、あらゆる業種・業態において複雑にサプライチェーンが構築されていることも現代の産業構造における特有の姿だ。いまや自社単独で全ての調達を賄い事業を営んでいくなどほぼ皆無だろう。 そして、このサプライチェーンを構成するただ一社でもセキュリティ面において脆弱であれば、そこを狙わない手は無い。ただ一社どころか、場合によってはその中のただ一人でも良い。
あとは敵陣への侵入に成功したトロイの木馬がごとく、最終的な標的へと「内部」から歩みを進めていけば良い。

迅速な対応の必要性

一連の事件を受け、ブリティッシュエアウェイズでは個人影響被害を最小限に抑えるための迅速な措置を講じた。 具体的には、カード情報窃取に伴う金銭的損失の補填や無料の信用情報監視の提供などである。

また、監督当局やその他の執行機関と協力することで、影響を受けた個人への迅速な通知を行っている。
GDPRではデータ侵害を認識してから72時間以内での監督当局への通知を求めており、これをなし得るということは有事の行動計画とトレーニングが実施されていることを示すことにも繋がっている。

そして監督当局でもこれらのことを評価し、制裁金額の大幅な減額へと繋がった。

このことから見えてくることは、データ保護規則が罰金を集金することを目的とした制度というわけではないこと。
すなわち、域内在住者の個人データを守るために企業を正しい道へと導くためのものであるという一面があるといったことが垣間見られる。 そのような意味でも、今回の対応事例は大いに参考となるものではないだろうか。

ただし、補償や対応、制裁金以外にも、セキュリティ対策費用や調査費用、その他弁護士や専門家などサードパーティへの支払いも発生している。
年間売り上げの2.5%（当時）という莫大な制裁金ばかりに目を奪われがちな事例ではあるが、経営に対するダメージとしてはとても2.5%に収まるはずも無い。

自発的な行動によるもの

冒頭述べたとおり、最終的には2,000万ポンド（およそ30億円）もの制裁金が科されることとなった。
当初の1億8,339万ポンドから実質上、大幅な減額が行われたことになる。

また、今後制裁の対象となってしまう企業にとっては教訓や参考とはなりづらいが、今回は新型コロナウイルスに伴う経済的影響も考慮されており、当初の制裁金額から400万ポンド（およそ5億円）の減額へと繋がっている。
国内外の一部メディアでは「新型コロナウイルスによって制裁金が減額された」というキャッチーな話題ばかりを前面に押し出したものもあるが、「なぜ」減額に至っているのかの本質を見誤ってはいけない。 もちろん400万ポンドという金額の大きさはあるが、大幅な減額をもたらした主たる要因というわけではない。

2018年には大手ソーシャルメディアLinkedInが入手したメールアドレスに関して、アイルランドの監督当局への苦情申し立てが発生したことがある。^*1
その際、同社では苦情を引き起こすこととなった処理を停止し、英監督当局が科したGDPR施行前の個人データも削除するなど、対応を行った。
自発的に行動し誠意ある対応を示すことで、制裁金などの罰則を受けていない好例だ。

厳格な個人データ保護法は欧州だけでなく、米国でも一部の州で既に始まっており、日本でも今年6月の改正個人情報保護法など徐々に厳格されてきている。
巨額の制裁金などセンセーショナルな話題にフォーカスしてしまいがちではあるが、これらに対する「あるべき姿」も徐々に浮かび上がりはじめている。
引き続き注視していかなくてはならない。

ちなみに、大幅な減額がされたとはいえ、本稿執筆時点において同社に科された制裁金額は未だに英監督当局が科したGDPR最高額となっている。

出典

^*1 https://jp.reuters.com/article/idJP00093300_20190204_00320190204