プリンスホテルをはじめ、ホテルモントレや東急ホテルなど、数十の国内ホテルが2018年6月、相次いで情報漏洩を発表した。原因は、仏ファストブッキングが提供するホテル予約サービスが不正アクセスを受けて、個人情報やクレジットカード情報が流出したため。同社のサービスを利用していた401の国内ホテル施設が影響を受けた。
多くの国内ホテルは情報漏洩の発表後、欧州連合(EU)各国にある機関に報告書を提出した。一部の報道では、提出していない国内ホテルは10億円以上の制裁金を受ける可能性があるという。どういうことだろうか。
72時間以内の通知義務
国内ホテルが提出した報告書とは、2018年5月25日に施行された「EU一般データ保護規則(GDPR)」で定めたものだ。欧州議会などがEU居住者の個人情報保護のために制定した規則で、その適用はEUの域外にも及ぶ。GDPRでは、情報漏洩などの個人情報の侵害が発生した場合、72時間以内に通知するよう定めている。通知がない場合は、1000万ユーロ(約13億円)もしくは前年度の売り上げの2%を制裁金として科すとしている。
今回の情報漏洩は、国内ホテルではなく、フランス企業が運営するサービスが引き起こしたものだ。委託元の国内ホテルは、外部のサービスを利用していただけで、個人情報を主体的に取り扱っていない。こうしたケースでも委託元に通知義務が生じるのか。
GDPRの通知支援サービスを提供するPwCコンサルティングの松浦大マネージャーは、「GDPRでは、委託元は通知義務を免れない」と断言する。個人情報を主体的に取り扱っていない委託元であっても、共同管理者として通知義務があるというのだ。もちろん個人情報を主体的に取り扱う委託先も通知義務を負う。今回のケースでは、ファストブッキングもGDPRの通知を行ったという話もある。
