ハッキングコロナ禍でも、企業買収の動きが活発化してきています(写真はイメージです) Photo:PIXTA

新型コロナウイルスの感染拡大は、社会や生活、仕事の仕方などあらゆる場面に変化をもたらしている。これをきっかけに新たな価値を提供しはじめた企業もあれば、これまでの勝ちパターンが通用しなくなった企業もあるだろう。そうした環境下において、国内外を問わず活発化しはじめているのが「企業買収」だ。今回は、そんな企業買収によって「とんでもないもの」を背負ってしまい、思わぬ大きな損害を被る危険性があるという話を紹介したい。(サイバーセキュリティ専門家 足立照嘉)

宿泊者情報の漏えいで
巨額の制裁金がマリオットに

 今からおよそ1年前、米系大手ホテルチェーンのマリオット・インターナショナル社(以下、マリオット)に対し、GDPR違反としておよそ135億円相当もの制裁金を科すという発表が監督当局からなされた。(*1)

 これは日本でも報じられており、巨額の制裁金を伴うことから、記憶に残っている方も多いのではないだろうか。

 GDPRとは「欧州一般データ保護規則」のことで、EEA加盟の31カ国(当時のEU加盟28カ国にアイスランド、リヒテンシュタイン、ノルウェーを加えた31カ国)で2018年5月に施行された個人データ保護に関するEUの規則である(なぜ「当時」と強調するのかといえば、2018年5月時点ではEUに英国が加盟していたからだ)。

 欧州の法規制であることから「日本企業には関係ない」と思う方もいるかもしれないが、一概にそうとも言えない。EEA在住者の個人データが対象となるため、サプライヤーなどの取引先担当者がこれらの地域に在住していれば、その個人データはGDPRの適用対象となる。また「在住者」であり「国籍」ではないため、これらの地域に駐在員を置く企業についても同様だ。今年6月には日本の個人情報保護法も改正されたが、対応すべき法規制は多い。

 制裁金135億円の事件は、2018年11月にマリオットから監督当局に報告された情報漏えいに端を発する。およそ3億3900万人もの宿泊者情報などが漏えいしてしまい、そのうちおよそ3000万人がEEA在住者に関連したものであった。この漏えいは、2014年にスターウッドホテルグループ(以下、スターウッド)のシステムが侵害されたことが背景にあるが、2016年にマリオットがスターウッドを買収しているため、結果的にマリオットに制裁金が科せられたわけだ。

(*1)「Marriott InternationalにGDPR侵害で約135億円の制裁金 個人情報流出で」(『ITmedia』2019年7月10日)