マリオットの情報流出、5億人に影響の恐れ--米でデータ保護関連法求める声も

　大手ホテルチェーンのMarriottでデータ流出が発覚した。最大5億人分の顧客に影響が及ぶ可能性があるという。

　Marriottは米国時間11月30日、 傘下のStarwoodで、宿泊客の予約データベースに不正アクセスがあったことを明らかにした。Starwoodのブランドには、Sheraton Hotels & Resorts、W Hotels、Westin Hotels & Resorts、Le Meridien、Four Points by Sheraton、Aloft Hotels、St. Regisなどがある。2018年9月10日までにStarwoodのホテルを予約した人に影響があるという。また同社は、Marriottとは異なるStarwoodのネットワークにのみ不正アクセスがあったとしている。

　社内調査では、Starwoodのネットワークに2014年から不正なアクセスがあり、「権限を持たない第三者が情報をコピーして暗号化した」ことが明らかになった。約3億2700万人の情報には、名前、住所、電話番号、メールアドレス、パスポート番号、到着や出発の情報などが含まれていた。

　データ流出の問題が頻発し、企業と消費者を悩ませている。10月には香港のCathay Pacific航空が、約940人分のデータ流出を発表した。9月にはFacebookが、5000万人分のユーザーデータが流出していた可能性があることを明らかにした。1カ月前には米Yahooが、2013年と2014年の大規模データ流出後の和解の一環として、5000万ドルの損害賠償金を支払うことが明らかになった。

　こうしたことを受け、米議会は企業が一層の責任を負うことを受け入れるよう促す方法を検討している。Ron Wyden上院議員は消費者データ保護に関する法案を提出している。この法案では、データ保護の取り組みについて虚偽が発覚した場合に、最高経営責任者（CEO）らに懲役を科すなどの可能性があるとされている。

　英国では、 データ保護機関であるInformation Commissioner's Office（ICO）が、Marriottからデータ流出の報告を受け、事情を問い合わせていると述べた。

　ニューヨーク州司法長官は、調査を開始したことをツイートで明らかにした。

We’ve opened an investigation into the Marriott data breach. New Yorkers deserve to know that their personal information will be protected.

— NY AG Underwood (@NewYorkStateAG) 2018年11月30日

　流出した情報の一部には、決済に使われたカードの番号と有効期限も含まれていたとMarriottは説明している。このデータは通常は暗号化されるが、同社によると、暗号鍵の情報も流出した可能性があるという。

　Marriottは9月8日に、社内のセキュリティツールからデータ流出の可能性について警告を受けたが、同社が流出データの内容を確認できたのは11月19日だった。Marriottは30日に、影響を受けた顧客に電子メールで通知を開始した。また、情報ウェブサイトとコールセンターを設けた。さらに、米国や一部の国の顧客に対し、不正検出サービス「WebWatcher」の1年契約を提供する。

提供：SOPA Images