ホテル予約システムを提供する仏IT企業ファストブッキング社のサーバーへの不正アクセスにより、日本国内401の宿泊施設を予約した利用客の個人情報計32万5717件が流出。ホテルの情報セキュリティが問われる事態となっている。
400施設、20万件個人情報、12万件クレジットカード情報流出
ファストブッキング社によると、パリにおくサーバーに二度の不正アクセスがあり、6月15日に国内380の宿泊施設の氏名や住所、予約金額、チェックイン・アウトなどの個人情報が20万5137件、17日に国内189の宿泊施設のクレジットカード情報など12万580件が流出した。
多くは外国語ページで訪日外国人の個人情報となるが日本人の情報も含まれている。
168の施設は個人情報とクレジットカード情報の双方を流出した。
クレジットカード会社各社は不正アクセスの報告を受け、直ちにカード所有者保護措置を実施しており、現在のところ悪用されたとの報告はされていないという。
同社は宿泊施設名について顧客情報にあたるため、開示できないとしているが、流出した多くのホテルが26日以降、プリンスホテルをはじめとして自主的に謝罪のプレスリリースを相次ぎ発表する事態となっている。
ホテル産業が狙われやすい理由ーIT設備の増強で複雑化も
今回の事件で同社の情報漏洩は、サービスの管理サーバーに仕掛けられたバックドアが原因であった模様だが、ホテル産業は多くの個人情報やクレジットカードを入手しており、ハッカーにとって格好のターゲットとなっている。
他の産業と異なり、より多くのアプリやシステムが直接予約用にインターネット上に露出しているためハッカーの攻撃を受けやすく、またデポジットとしてクレジットカード情報を保有することが多いことなどもそのリスクを高める原因となっている。
また、スマートフォンやタブレット、スマートスピーカーなどがホテル内の設備として設置されることが増加しており、IT機器による接続が増えれば増えるほど、ホテル側はより多くの顧客の個人情報を入手することになることから、その情報管理の複雑さと重要性が高まっている。
相次ぐ不正アクセスによる情報漏洩
情報漏洩事案は過去にも起きており、昨年には、世界各国のホテルや旅行会社が利用している米Sabreの予約システムが何者かに不正アクセスされ、利用客の決済カード情報や個人情報が流出する事態が明らかとなり、ハードロックホテル、ロウズホテル、フォーシーズンズホテル、トランプホテルなどに影響を与えた。
また本年に入ってからもエクスペディア傘下の旅行ウェブサイトであるOrbitzが88万件のカード支払い情報を含む顧客情報を流出させる事態が起きていたことが明らかとなっている。
そのほか、各ホテルが不正アクセスにより情報漏洩に至る事案は複数存在している。
今回の事件に関しては、情報漏洩の原因を作ったファストブッキング社のセキュリティが直接的には厳しく問われるべきであるが、ホテルにとっても個人情報やクレジットカード情報の流出は顧客からの信頼とブランドを大きく傷つけることになりかねない由々しき問題である。
SNS上での従業員による内部漏洩などを含めて、情報セキュリティシステムの再チェックが求められそうだ。
【関連記事】