ロンドン – 英国情報コミッショナー事務局（ICO）は水曜日、国際航空会社キャセイパシフィック航空に対し、50万ポンド（63万6000ドル）の罰金を科すと発表した。これは、2014年10月から2018年5月の間に発生し、940万人のユーザーに影響を与えたデータ侵害に対するものだ。

キャセイパシフィック航空、GDPR施行前としては最大の罰金

ICOは、キャセイパシフィック航空のシステムへの侵入は「過失」によるもので、マルウェアが様々な個人情報を収集するために使用されたと結論付けました。収集された個人情報には、氏名、パスポート情報、身分証明書、生年月日、郵便番号、メールアドレス、電話番号、渡航履歴などが含まれていました。調査の結果、バックアップファイルにパスワードを設定していなかったこと、インターネットに接続されたサーバーにパッチを適用していなかったこと、開発元によるサポートが終了したオペレーティングシステムを使い続けていたこと、十分なウイルス対策が施されていなかったことなど、多くの重大な過失があったことが判明しました。

ICOの調査ディレクターであるスティーブ・エッカーズリー氏は次のように述べた。

キャセイパシフィック航空のシステム全体に多数の基本的なセキュリティ上の不備があり、ハッカーが容易にアクセスできたことを考えると、今回の侵害は特に懸念すべきものでした。私たちが発見した複数の深刻な欠陥は、期待される基準をはるかに下回っていました。最も基本的な点として、同航空会社は国家サイバーセキュリティセンター（NCSC）のサイバーエッセンシャルズに関する基本ガイドライン5つのうち4つを満たしていませんでした。

にもかかわらず、ICOはキャセイパシフィック航空が2018年3月にブルートフォース攻撃を察知した後、「迅速かつ誠実に対応」したことを認めた。同社はサイバーセキュリティ企業を雇用し、ICOに報告した。さらに、同航空会社は被害者への情報提供と捜査への協力において「法的義務を超えた対応」を行ったと評価した。

この事件はGDPR導入前に発生したため、ICOは旧法に基づいて調査を行いました。50万ポンドの罰金は、当時の法律ではICOが科すことのできる最高額でした。