英情報保護当局の情報コミッショナー事務局(ICO)は16日、英航空大手ブリティッシュ・エアウェイズ(BA)が2018年に大量の顧客情報を流出させた問題で、2千万ポンド(約27億円)の制裁金を科したと発表した。約1億8千万ポンド(約245億円)を科す予定だったが、新型コロナウイルスの感染拡大で業績が低迷していることを受け大幅に減額した。
BAは18年、サイバー攻撃を受けて顧客の氏名や住所、クレジットカード情報などの個人情報が外部に漏れ、40万人以上が被害を受けた。ICOは16日、BAが多要素認証などの必要な対策を怠ったと結論づけ、「不作為は受け入れがたく、過去最大の罰金を科した」と説明した。
ICOは欧州連合(EU)が18年に施行した一般データ保護規則(GDPR)に基づき調査していた。流出規模の大きさやセキュリティー管理の甘さを重く見て、19年時点ではBAの17年売上高の1.5%に当たる約1億8千万ポンドの制裁金を科す考えを示していた。
GDPRは企業などに個人情報の管理徹底を求めるEUのルール。重大な違反者は最大で年間売上高の4%か2千万ユーロ(約25億円)の高い方という、巨額の制裁金が科される可能性がある。英国は20年1月にEUを離脱したが、加盟当時の案件だったためGDPRに基づく手続きを進めた。
BAは18年、サイバー攻撃を受けて顧客の氏名や住所、クレジットカード情報などの個人情報が外部に漏れ、40万人以上が被害を受けた。ICOは16日、BAが多要素認証などの必要な対策を怠ったと結論づけ、「不作為は受け入れがたく、過去最大の罰金を科した」と説明した。
ICOは欧州連合(EU)が18年に施行した一般データ保護規則(GDPR)に基づき調査していた。流出規模の大きさやセキュリティー管理の甘さを重く見て、19年時点ではBAの17年売上高の1.5%に当たる約1億8千万ポンドの制裁金を科す考えを示していた。
GDPRは企業などに個人情報の管理徹底を求めるEUのルール。重大な違反者は最大で年間売上高の4%か2千万ユーロ(約25億円)の高い方という、巨額の制裁金が科される可能性がある。英国は20年1月にEUを離脱したが、加盟当時の案件だったためGDPRに基づく手続きを進めた。