6月26日に株式会社プリンスホテルは、サーバーへの不正アクセスによって、外国語Webサイトにて予約をした利用客の個人情報が流出したと発表しました。
これは近年耳にする単なる個人情報流出のニュースだと思うと大間違いで、2018年5月25日にEUで適用が開始された新たな個人情報保護法であるGDPR(GeneralDataProtectionRegulation一般データ保護規則)と合わせて、今後多くのEU圏からの訪日外国人の個人情報を扱う可能性のある日本のインバウンド関連事業者にとっては知っておかねばならないニュースだと言えます。
インバウンド受け入れ環境整備の資料を無料でダウンロードする
- 「翻訳・多言語化」の資料を無料でダウンロードする
- 「多言語サイト制作」の資料を無料でダウンロードする
- 「多言語化表示サービス」の資料を無料でダウンロードする
- 「テレビ電話型通訳サービス」の資料を無料でダウンロードする
- 「訪日外国人向け道案内」の資料を無料でダウンロードする
インバウンドの最新情報をお届け!訪日ラボのメールマガジンに登録する(無料)
そもそも「プリンスホテルの委託先サイトの情報漏洩事件」はどのようなものなのか?
株式会社プリンスホテルは6月26日に「サーバーへの不正アクセスによる、当社外国語Webサイトにてご予約いただいたお客さまの個人情報の流出に関するお詫びとお知らせ」を発表しました。
株式会社プリンスホテルは、外国語Webサイトの運営をファストブッキングジャパン株式会社に委託しており、今回の不正アクセスはFastBooking Japan(ファストブッキングジャパン株式会社)の親会社であるフランス法人ファストブッキング社の所有するサーバーに対して起きたもので、今回の情報漏洩はこのサーバーから約12万4963件の利用客の個人情報が流出したというものです。
個人情報漏洩は6月に2回続いた
個人情報が流出したのは合計して2回。1回目は6月15日金曜日で、フランス法人のファストブッキング社の所有するサーバーに不正アクセスがあり、氏名、国籍、郵便番号、住所、メールアドレス、予約金額、予約番号、予約ホテル名、チェックイン日、チェックアウト日など58,003件の個人情報が流出。2回目の不正アクセスは2日後となる6月17日日曜日。こちらも同様にファストブッキング社の所有するサーバーに不正アクセスがあり、氏名、クレジットカード情報など66,960件の個人情報が流出しました。
ファストブッキング社は20日に事態を把握、22日、23日にファストブッキングジャパン株式会社が株式会社プリンスホテル側に電話とメールで今回の不正アクセスによる情報漏洩を報告、24日にファストブッキングジャパン株式会社日本支社長が株式会社プリンスホテルを訪れ事態の報告を行っています。
今回の情報漏洩はEUのGDPRの罰則規定に該当する恐れが
今回のこのニュースが、なぜ日本のインバウンド関連事業者にとって大きなニュースであると言えるのか?それはEUの新たな個人情報保護法であるGDPR(GeneralDataProtectionRegulation一般データ保護規則)に違反する恐れがあるためです。
このGDPRにした企業には、企業の全世界年間売上高の4%以下、2000万ユーロ以下(※現在の為替レートで約26億円)のいずれか高い方を上限とする高額な制裁金が科される恐れがあります。
今回、株式会社プリンスホテルが外国語Webサイトの運営を委託していた、ファストブッキングジャパン株式会社の親会社であるフランス法人ファストブッキング社のサーバーから流出した個人情報には、EU圏の人々の個人情報も含まれていたであろう事が予測され、そうすると株式会社プリンスホテル側にもGDPRの罰則規定が及ぶ可能性があるためです。
そもそも「GDPR」とは何なのか?
GDPR(GeneralDataProtectionRegulation一般データ保護規則)は欧州議会において2016年4月14日に正式に採択されたもので、2018年5月25日から適用が開始されており、
- EUデータ保護法の範囲の拡大
- 統一性の増大
- 企業に対する説明責任義務の導入
- 個人の権利の強化
- 制裁と執行の強化
を目的としています。
非常に簡単に説明すると、GDPRはそもそもはEUの憲法であるEU基本権憲章によって保護されるべき「個人データの保護に対する権利」を確保するものとして導入されました。なお、ここでいう「個人データ」とは氏名、個人識別番号、所在地データ、職業上のEメールアドレス、IPアドレス、身体的、生理学的、遺伝子的、精神的、経済的、文化的などの情報であるとされています。
欧州経済領域(EEA域内)で個人データを取得する企業はすべて「GDPR」の対象となる=日本の中小企業も例外ではない
GDPRは欧州経済領域(EEA域内)でビジネスを行い、個人データを取得する中小・零細企業を含む日本企業、日本の公的機関に対しても幅広く適用されるもので、EEA域内で取得した「個人データ」を「処理」し、EEA域外の第三国に「移転」するために満たすべき法的要件を規定しているものです。
なお、この「個人データ」をEEA域外へ「移転」することは原則的に違法となります。ただし、
- 移転先の国や地域で法整備が既に行われており、十分に個人データ保護処置が講じられているという認定(十分性決定)が既に行われている場合
- もしくは、適切な保護措置を取った場合など
に関しては例外的に「個人データ」の「移転」が認められており、
- 「データ主体が明示的に同意した場合」、「データ主体と管理者の間の契約の履行のため、またはデータ主体の要請により講じる契約前の措置の実施のため」など、必要性に基づいて移転が認められる場合
などは特例として例外的に適法になるケースも定められています。
なお、日本に関しては現時点ではこの「十分性決定」が行われていませんが、欧州委員会は2018年6月の段階で、「日本の十分性認定に向けた交渉の最終段階にある」としています。
「GDPR」の「管理者」・「処理者」とは?
また、GDPRの元で個人データの処理を行う企業は「管理者」または「処理者」となります。
「管理者」とは単独または他の共同して個人データの処理の目的や方法を決定する自然人、法人などの団体で、今回のケースでは株式会社プリンスホテルから漏洩した個人情報にEU圏の人々の個人情報が含まれていた場合、株式会社プリンスホテルが「管理者」となります。
一方「処理者」とは「管理者」に変わって個人データの処理を行う自然人、法人などの団体で、今回のケースではファストブッキング社が「処理者」にあたります。
そこでGDPRでは「管理者」「処理者」など個人データの処理に関与するすべての関係者に、個人データの適切な保護処置を取ることを求めています。そして、今回のように何らかの個人データの漏洩が発生した場合、個人データの処理に関する全ての関係者は、個人データの漏洩の検知後72時間以内に監督機関へと通知することが義務付けられています。
これはあくまでも漏洩の発生を確認した時点ではなく、漏洩が発生したかもしれないと考えた時点からとされており、かなり早いタイミングでの通知が必要とされてきます。今回ファストブッキング社が事態を把握したのは20日とされていますが、72時間を一体どの時点から考えて72時間とするのかは難しいところです。
「GDPR」において、インバウンド担当者が気をつけるべきポイントは?
さて今回のニュースで「EUの個人情報保護法の話でフランスの企業が情報漏洩を起こしたのか。。」程度の認識だと、インバウンド関連企業、インバウンド担当者は非常に危険です。
GDPRはあくまでもEU圏の人々の「個人データの保護に対する権利」を守るためのものですから、EUに本社や支社があるなしに関わらず、日本企業がEU圏の人々の個人データを取得した後に、GDPRに沿ったデータ処理を行っていない場合、罰則が適用される可能性があります。 2020年の東京オリンピックを見据え、EU圏からのインバウンド客の取り込み、マーケティング活動などを行う可能性がある、行っている企業に関しては、こうしたEU圏の人々の個人情報の処理には十分な注意が必要なのです。
「GDPR」について具体的にはどのような規定に気をつければ良い?
具体的に気をつけるべき点としては、
- 個人データの収集及び利用目的について、有効な同意を明示的に行うこと
- 個人データの処理及び保管に適切な安全管理措置を講じること
- 個人データの情報漏洩が発生した場合、72時間以内に監督機関、データ主体へと通知すること
- EU域内に拠点を持たない企業は、代理人を選任しなければならない可能性があること
- EEA域外への個人データの移転は原則として違法となること
などですが、まずは自社のGDPRへの対応がどのような状況であるのか、自社で保有している個人情報にEU圏の人々の個人データが含まれているのか、こうした個人情報に関して適切な保護措置が取られているのかを確認することが必要です。
まとめ
今回は日本国内としてはおそらく初であろうGDPRに関する情報漏洩事件である、株式会社プリンスホテルの情報漏洩についてお伝えしました。
インバウンド対応事業者としては「明日は我が身」という形でしっかりと知識をつけ、備えておくことが求められます。具体的には日本貿易振興機構(ジェトロ)が発行している「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編) が約に立つでしょう。
インバウンド受け入れ環境整備の資料を無料でダウンロードする
<参考>
中国SNS「RED(小紅書)」最新情報セミナー:訪日ラボ社内勉強会の内容を特別に公開します【訪日ラボ トレンドLIVE! Vol.6】
短時間でインバウンドが学べる「訪日ラボ トレンドLIVE!」シリーズの第6弾を今月も開催します!訪日ラボとして取材や情報収集を行う中で、「これだけは把握しておきたい」という情報をまとめてお伝えするセミナーとなっています。
今年も残りわずかとなりましたが、インバウンド需要はまだまだ好調をキープしている状況です。来年の春節や桜シーズンなど、訪日客が集まる時期に向けて対策を練っていきたいという方も多いでしょう。
今回もインバウンド業界最大級メディア「訪日ラボ」副編集長が、10〜11月のインバウンドトレンド情報についてお話ししていきますので、ご興味のある方はぜひご覧ください。
詳しくはこちらをご覧ください。
→中国SNS「RED(小紅書)」最新情報セミナー:訪日ラボ社内勉強会の内容を特別に公開します【訪日ラボ トレンドLIVE! Vol.6】
【インバウンド情報まとめ 2024年11月前編】UberEats ロボット配達開始、万博需要見すえ大阪で ほか
訪日ラボを運営する株式会社movでは、観光業界やインバウンドの動向をまとめたレポート【インバウンド情報まとめ】を毎月発行しています。
この記事では、主に11月前半のインバウンド最新ニュースを厳選してお届けします。最新情報の把握やマーケティングのヒントに、本レポートをぜひご活用ください。
※本レポートの内容は、原則当時の情報です。最新情報とは異なる場合もございますので、ご了承ください。
※口コミアカデミーにご登録いただくと、レポートの全容を無料にてご覧いただけます。
詳しくはこちらをご覧ください。
→UberEats ロボット配達開始、万博需要見すえ大阪で:インバウンド情報まとめ【2024年11月前編】
今こそインバウンドを基礎から学び直す!ここでしか読めない「インバウンドの教科書」
スマホ最適化で、通勤途中や仕込みの合間など、いつでもどこでも完全無料で学べるオンラインスクール「口コミアカデミー」では、訪日ラボがまとめた「インバウンドの教科書」を公開しています。
「インバウンドの教科書」では、国別・都道府県別のデータや、インバウンドの基礎を学びなおせる充実のカリキュラムを用意しています!その他、インバウンド対策で欠かせない中国最大の口コミサイト「大衆点評」の徹底解説や、近年注目をあつめる「Google Map」を活用した集客方法など専門家の監修つきの信頼性の高い役立つコンテンツが盛りだくさん!
