マリオット、英当局がＧＤＰＲ違反で罰金へ

個人情報保護を監督する英国の独立公益法人ＩＣＯは９日、昨年発覚した米ホテル大手マリオット・インターナショナルの顧客情報流出問題を巡り、同社に9,920万ポンドの罰金を科す方針を発表した。ＩＣＯが欧州連合（ＥＵ）の「一般データ保護規則（ＧＤＰＲ）」違反を適用するのは、英航空大手ブリティッシュ・エアウェイズ（ＢＡ）に続き２例目となる。

個人情報の流出は、マリオットが昨年９月、傘下のスターウッド・ホテル＆リゾートの予約データベースがハッキング攻撃を受けたとのセキュリティー通報を受けて発覚。同社は2016年９月にスターウッドを買収したが、同データベースへのハッキングは2014年から行われていたとみられる。

ＩＣＯによると、予約データベースからは世界全体で約３億3,900万件の顧客情報が流出。うち、およそ3,000万件が欧州経済領域（ＥＥＡ）31カ国の住人と関連しており、700万件が英国の住人絡みだった。名前や住所、パスポート番号、暗号化されたクレジットカード番号などの情報が盗まれたという。「マリオットはスターウッド買収時に十分なデューデリジェンス（買取事前調査）を行わなかった。システムの安全性を高めるための方策をもっと講じるべきだった」としている。なお、マリオットはＩＣＯの方針に異議を唱える機会が与えられており、これを行使する方針。異議を申し立てれば、ＩＣＯは慎重に検討した上で最終的な判断を下すことになる。

罰金額はマリオットの年商の約2.4％に相当する。ＧＤＰＲ違反を巡っては、ＩＣＯがＢＡに過去最高額となる１億8,339万ポンドの罰金を科したばかり。