観光庁は平成28年(2016年)8月1日、「旅行業界情報流出事案検討会 中間とりまとめ ~旅行業情報セキュリティ向上のため早急に講ずべき対策~」を発表しました。

同年6月、ジェイティービー、札幌通運が相次いで個人情報漏洩に関する記者会見を開き、旅行業者の情報セキュリティ対策が社会的に大きな注目を受けたことを背景に、「観光庁・旅行業界情報共有会議」を実施。そのとりまとめとして、再発防止策を提言しています。

情報セキュリティはさまざまな業界で課題となっているテーマですが、インバウンドビジネスには特に深い関わりがあります。というのも、2012年にロンドンオリンピックが開催された際、イギリスには膨大なサイバー攻撃があったと言われています。インバウンドビジネスにとってチャンスになる国際的なイベントは、標的になりやすいのです。また、こういった状況ではイベントとは直接的な関わりのない企業、組織も標的にされる傾向があります。2020年東京オリンピックでも、同様にサイバー攻撃があるのではないかと予想されています。

では、どのように対応すべきなのでしょうか。今回は個人情報を扱う機会の多い旅行業者には欠かせないITセキュリティ対策についてご紹介します。

 

旅行業者にとってITセキュリティは深刻な問題

IT化の進展により、旅行業は大きく変化しています。店頭型の旅行商品販売から、インターネットを利用した電子旅行取引にシフトしてきました。そこでITセキュリティ対策が重要になるのですが、どのような理由があるのでしょうか。

大きな問題になるのは、個人情報の漏洩です。ユーザーのプライバシーを守れないだけでなく、クレジットカードが不正利用されるおそれもあります。これらの危惧により、ユーザー数を低下させてしまっては事業が立ち行かなくなります。安心して旅行できる環境づくりには、ITセキュリティが不可欠だと言っても過言ではないでしょう。

また、顧客情報には購入履歴なども含まれるため、企業にとっては重要な営業ノウハウでもあります。つまり、個人情報の漏洩はユーザーに対しても、企業に対しても大きなダメージを与えるのです。2020年に東京オリンピックを控えている今、ITセキュリティ対策は喫緊の課題であり、早急な対応が求められています。

 

ITセキュリティ対策として行うべき施策

では、旅行事業者はどのような対策をとればよいのでしょうか。「旅行業界情報流出事案検討会 中間とりまとめ ~旅行業情報セキュリティ向上のため早急に講ずべき対策~」では「旅行業者」「中堅・小規模旅行業者」に分けて解説しています。

旅行業者がとるべきITセキュリティ対策

「旅行業者」と称されていますが、大手旅行業者と理解して差し支えありません。大規模で抜本的な再発防止策が掲げられています。

  • 体制、システム面での対応
    • 情報セキュリティ最高責任者(CISO)の任命
    • サイバーセキュリティ対策部署(CSIRT)の設置
    • 個人情報サーバーとインターネットを使用するシステムの物理的な分離
  • 事業者団体事務局内に情報セキュリティ担当者を任命
  • 業者間での情報交換

中堅・小規模旅行業者がとるべきITセキュリティ対策

中小規模の旅行業者の場合も、先の大手旅行業者と同様の対応をとるべきですが、現実的には困難です。そこで以下のような対策が掲げられています。

  • アンチウイルスソフトの更新など基本的な対策を講じる
  • 個々の企業で相談窓口、サイバーセキュリティ対策部署の設置するのが困難であれば、行間団体で対応することを検討する
  • クラウドサービスの活用、サイバー保険に付帯する緊急時サポートサービスを活用する

 

ITセキュリティ対策の基本的な10個のポイント

さらに具体的にITセキュリティ対策を掘り下げてみましょう。ロンドン五輪が開催された2012年に、シマンテックのクラウド・サービス事業担当バイス・プレジデントを務めていたデヴィッド・フランシス氏によれば、サイバー攻撃の約8割は基本的なセキュリティ対策で対処することができるとのこと。

その基本的な対策として掲げられているのは、以下の10種。サイバー攻撃が殺到する時期であっても、これらの対策を確実に行うことが重要なのです。

  • すべての機器のアンチウイルスソフトを最新の状態にする
  • ファイアーウォールを最新の状態にする
  • タスクごとのユーザー権限をできるかぎり最低レベルにする
  • すべての危機に最新のセキュリティ・パッチを適用する
  • バックアップ・サーバーにもプライマリーサバーと同一のパッチを適用する
  • 情報資産も有形資産と同様に登録、管理を徹底する
  • 守るべき情報資産に優先順位をつけ、レベルごとに適切な対策を講じる
  • ネットワークやシステムの設計段階からセキュリティを主要要件とする
  • テストを頻繁に実施する
  • 他社、他組織のセキュリティ担当者と緊急時の情報共有ができる関係を築く

 

まとめ:東京オリンピックに向け、サイバー攻撃への対策を

オリンピックのような国際的なイベントが開催される際には、直接的な関係のない組織、企業もサイバー攻撃の対象になりやすいと言われています。個人情報が漏洩すれば、事業に大きな深刻な影響をもたらすでしょう。

基本的なセキュリティ対策を講じることで、約8割の攻撃をブロックできることが知られています。

 

訪日ラボをフォローして
最新情報を受け取る

インバウンド最新情報をお届けします。

これ以上前の記事はありません…