ロンドン – 英国情報コミッショナー事務局（ICO）は月曜日、ブリティッシュ・エアウェイズ（British Airways）に対し、1億8,339万ポンド（2億2,622万ドル）の巨額罰金を科す意向を発表した。この罰金は、一般データ保護規則（GDPR）違反に対するものだ。

データ侵害の影響を受けた50万人

罰金は、2017年12月31日までの会計年度における同航空会社の全世界売上高の1.5%に相当します。ICOによると、この罰金は2018年6月に発生したサイバーインシデントに関連しています。ブリティッシュ・エアウェイズのウェブサイトは、一部のユーザーを詐欺サイトに誘導し、個人情報を収集していました。収集された個人情報には、ログイン情報、決済カード情報、旅行予約情報、氏名、住所情報などが含まれていました。このインシデントは50万人のユーザーに影響を与えました。ブリティッシュ・エアウェイズは2018年9月にこのインシデントについてICOに報告しました。

情報コミッショナーのエリザベス・デナム氏は、提案された罰金について次のようにコメントした。

人々の個人データは、まさにその名の通り、個人的なものです。組織が個人データを紛失、破損、盗難から保護できない場合、それは単なる不便以上の問題となります。だからこそ、法律は明確に定めています。個人データを託された者は、それを適切に管理しなければなりません。そうしない組織は、私の事務所から、基本的なプライバシー権を保護するための適切な措置を講じているかどうかについて、精査を受けることになります。

ブリティッシュ・エアウェイズが反撃

これに対して、ブリティッシュ・エアウェイズの会長兼最高経営責任者であるアレックス・クルーズ氏は次のように述べた。

ICOによる今回の初期調査結果に、私たちは驚きと失望を覚えています。ブリティッシュ・エアウェイズは、お客様のデータを窃取する犯罪行為に対し、迅速に対応しました。窃盗に関係するアカウントにおいて、詐欺行為や不正行為の証拠は見つかりませんでした。この件でお客様にご不便をおかけしたことをお詫び申し上げます。

「ブリティッシュ・エアウェイズは、提案された罰金に関してICOに申し立てを行う予定です。必要な控訴を含め、航空会社の立場を積極的に擁護するためにあらゆる適切な措置を講じるつもりです」と、親会社であるインターナショナル・エアラインズ・グループのCEO、ウィリー・ウォルシュ氏は付け加えた。