セキュリティ上の過失があったとして、キャセイ・パシフィック航空は英国のデータ監視当局から50万ポンド(約6900万円)の罰金を科された。この過失では、英国の11万1578人を含む世界の顧客940万人の個人情報を流出させた。
数カ月にわたる調査を経て、英国の情報コミッショナーオフィス(The Information Commissioner’s Office、ICO)は3月4日、同航空が2018年秋に明らかにした情報流出に適用される英国の法律として最高額となる罰金を発表した。当時キャセイ航空は「システムへの不正アクセスを2018年3月に把握した」と話した。しかしそこから情報流出を公にするまでになぜ6カ月超もかかったのかは説明しなかった。
システムの安全性確保の失敗は、名前やパスポート、ID詳細、生年月日、住所、電子メールアドレス、電話番号、旅行履歴などを含む乗客の個人情報への不正なアクセスを招くことになった。ICOは本日、「キャセイ・パシフィック航空のシステムへの最初の不正アクセスは2014年10月14日だった」と指摘した。一方で、最初の個人情報への不正アクセスは2015年2月7日だった。
「キャセイ・パシフィック航空のシステムは、インターネットと情報搾取のためにインストールされたマルウェアにつながったサーバーを介して侵入されたことが明らかになった」とICOのプレスリリー
コメント