マリオット・インターナショナルとその子会社であるスターウッド・ホテルは、3億4400万人以上の顧客に影響を与えたデータ漏洩に対する和解の一環として、5200万ドルを支払い、包括的な情報セキュリティ・プログラムを策定する。
この和解により、マリオットとスターウッドは包括的なセキュリティ・プログラムを導入し、米国の顧客が個人データの削除を要求できるようにすることが求められる。
さらに、アメリカの巨大ホスピタリティ企業は、データ漏洩に関連する請求を解決するため、49の州に5200万ドルを支払うことに合意した。
マリオットの数々のデータ漏洩
マリオット・インターナショナルは、ホテルや宿泊施設の膨大なポートフォリオを管理・フランチャイズし、130カ国で7,000以上の施設を運営するホスピタリティ企業である。
スターウッドは、2016年にマリオットに買収されるまで、アメリカのホテル・レジャー企業であり、後者がデータセキュリティと関連するホテル運営を担うことになった。
FTCの発表では、マリオットが顧客情報の保護を怠った3つの事例が取り上げられている。
2014年6月、スターウッドはデータ漏洩に見舞われ、多くの顧客の決済カード情報が流出した。この情報漏えいは14カ月後に発覚し公表されたため、影響を受けた顧客は1年以上にわたって高度のリスクにさらされていた。
2つ目の事件は、ハッカーが3億3,900万件のスターウッド宿泊客のアカウント記録にアクセスしたことに関するもので、これには暗号化されていないパスポート番号525万件も含まれていた。この情報漏えいは2014年7月に発生したが、2018年9月に検出され、再び顧客は数年にわたり危険にさらされた。
3つ目の侵害はマリオット自体に影響を及ぼし、悪意のある行為者が2018年9月に520万人の宿泊客の記録にアクセスした。流出したデータには、氏名、Eメールアドレス、住所、電話番号、生年月日、ポイントアカウント情報などが含まれていた。
このケースでも、マリオットは侵害を発見し、それに従って顧客に通知するまで2020年2月までかかった。
和解案
FTCは、両社がデータ・セキュリティの慣行について消費者に誤解を与えたとし、パスワード管理の不備、旧式のソフトウェア、IT環境の適切な監視の欠如などの失敗を指摘した。
和解合意の一環として、マリオットとその子会社スターウッドは今後、以下の対策を実施する必要がある:
- 包括的な情報セキュリティプログラムを策定し、2年ごとに第三者による評価を受け、20年間にわたり毎年コンプライアンス認証を受けること。
- データの保持を必要なものに限定し、データを収集・保持する理由を顧客に通知する。
- 顧客がロイヤルティ・アカウントにおける不正な利用を確認し、盗まれた ポイントを復元することを要求できるようにする。
- 顧客が電子メールまたはロイヤルティ・アカウントにリンクされた個人情報の削除を要求する方法を提供する。
- 個人情報の取り扱い方法を偽って説明することを禁止し、セキュリティ慣行の透明性を確保すること。
マリオットはまた、49の州およびコロンビア特別区と同時に発表された別の和解にも合意しており、上記のセキュリティ事故に関する申し立てや請求を解決するため、$52,000,000を支払うことに同意しています。
Comments