FTC orders Marriott and Starwood to implement strict data security

米連邦取引委員会(FTC)は、マリオット・インターナショナルとスターウッド・ホテルに対し、大規模なデータ漏洩につながった失敗を受け、強固な顧客データ・セキュリティ・スキームを定義し、実施するよう命じた。

2016年にスターウッドを買収したマリオット・インターナショナルは、「合理的なデータ・セキュリティ」の実施を怠った後、3件の大規模なデータ漏洩に見舞われ、全世界で3億4400万人の顧客に影響を与えた。

対策強化の命令

今回、FTCはマリオットとその子会社であるスターウッドに対し、顧客の機密データをハッカーから守り、データをより適切に管理できるようなセキュリティ・プログラムを確立するよう命じた

公表された命令によると、以下の主要な対策を講じる必要がある:

  1. 暗号化、アクセス制御、多要素認証、脆弱性管理、インシデント対応計画を含む包括的な情報セキュリティプログラムを確立、実施、維持すること。
  2. マリオットは、その目的に合理的に必要な期間のみ個人情報を保持するポリシーを維持し、米国の消費者が個人情報の削除を要求できるリンクをウェブサイトに掲載する必要があります。
  3. 異常なアクティビティやセキュリティイベントを24時間以内に検出するため、IT資産のログおよび監視を実施すること。
  4. 情報セキュリティ・プログラムの独立した評価を20年間、隔年で実施し、特定されたギャップをFTCに報告すること。
  5. 米国の消費者に対し、不正行為の疑いがあるポイント口座を確認する方法を提供し、ポイント侵害があった場合はそのポイントを復元すること。
  6. セキュリティ侵害について政府機関への通知が必要な場合は、10日以内にFTCに通知すること。

FTCの命令は、マリオットとスターウッドに対し、命令の発効日である2024年12月20日から180日以内に、要求される包括的な情報セキュリティ・プログラムと関連対策を実施することを義務付けており、その期限は2025年6月17日に設定されています。

この命令は20年間有効であり、特定の条件下で延長することも可能である。

過去の事件

2014年、スターウッドの決済システムがハッキングされ、顧客データが流出した。

2014年から2018年にかけて発生した別の情報漏洩では、暗号化されていないパスポート番号を含む3億3900万件の顧客記録が漏洩した。この事件はスターウッドの宿泊客のみに影響を及ぼしたが、スターウッドの予約データベースは2014年から侵害されており、マリオットはスターウッドを買収した際にこの侵害を引き継いだ。

2018年、ハッカーは520万人のマリオットの宿泊客のデータにアクセスしたが、これが発見されたのは2020年で、発見と開示が遅れたため、顧客はずっと無防備な状態にあった。

2024年10月、マリオットは上記の失敗についてFTCと和解し、これらのデータ漏洩に関連する請求を解決するため、49州に52,000,000ドルを支払うことに合意した