プリンスホテルをはじめ、ホテルモントレや東急ホテルなど、数十の国内ホテルが2018年6月、相次いで情報漏洩を発表した。原因は、仏ファストブッキングが提供するホテル予約サービスが不正アクセスを受けて、個人情報やクレジットカード情報が流出したため。同社のサービスを利用していた401の国内ホテル施設が影響を受けた。

 多くの国内ホテルは情報漏洩の発表後、欧州連合(EU)各国にある機関に報告書を提出した。一部の報道では、提出していない国内ホテルは10億円以上の制裁金を受ける可能性があるという。どういうことだろうか。

72時間以内の通知義務

 国内ホテルが提出した報告書とは、2018年5月25日に施行された「EU一般データ保護規則(GDPR)」で定めたものだ。欧州議会などがEU居住者の個人情報保護のために制定した規則で、その適用はEUの域外にも及ぶ。GDPRでは、情報漏洩などの個人情報の侵害が発生した場合、72時間以内に通知するよう定めている。通知がない場合は、1000万ユーロ(約13億円)もしくは前年度の売り上げの2%を制裁金として科すとしている。

仏CNIL(Commission Nationale de l'Informatique et des Libertés)が開示している通知書のフォーマット。なお通知は原則、該当するEU内の各国で行うことになっている。ただし、EU内に代表となる事業所がある場合、その事業所がある国だけで行えばよい
出所:CNIL
[画像のクリックで拡大表示]

 今回の情報漏洩は、国内ホテルではなく、フランス企業が運営するサービスが引き起こしたものだ。委託元の国内ホテルは、外部のサービスを利用していただけで、個人情報を主体的に取り扱っていない。こうしたケースでも委託元に通知義務が生じるのか。

 GDPRの通知支援サービスを提供するPwCコンサルティングの松浦大マネージャーは、「GDPRでは、委託元は通知義務を免れない」と断言する。個人情報を主体的に取り扱っていない委託元であっても、共同管理者として通知義務があるというのだ。もちろん個人情報を主体的に取り扱う委託先も通知義務を負う。今回のケースでは、ファストブッキングもGDPRの通知を行ったという話もある。

この先は有料会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら