ホテルの予約や会員登録など、Webサイト上で個人情報を入力する機会は日常化されており、利用する側としては危機感を覚えづらいのが現状です。
しかし、ホテル事業側としては、顧客の個人情報は決して外に漏れないよう徹底管理が求められます。
その中でも、今回はホテル事業の個人情報漏洩事例について取り上げ、どのようなセキュリティ対策が必要なのかを解説します。
本記事を参考に、セキュリティの重要性を学び、自社の個人情報保護の管理体制に活かしてください。
まずは、ホテル業界の個人情報漏洩の事例をいくつかご紹介します。なお、具体的な運営会社、該当ホテル名は控えて紹介しますのでご理解ください。
海外に親会社がある予約システムサイトで、不正アクセスによる顧客の個人情報が漏洩した事例がありました。
流出件数は、2017年5月1日から2018年6月19日までに予約を行った顧客の個人情報が約1万66件、2017年8月以前に利用したクレジットカード情報が約1万6520件が流出しています。
上記件で、情報流出の被害を受けている国内ホテルも存在しており、いずれも外国語で構築されたWebサイトで予約を行った顧客に限られているのが現状です。
被害状況については、Webサイト上で報告しつつ、予約情報の流出が判明している顧客に対してはメールにて事情説明および謝罪の対処を行っています。
とあるレジャーホテルの検索&予約サービスでは、提供側のセキュリティの脆弱性が原因で個人情報漏洩が起こりました。
内容としては、ログイン時のIDおよびパスワードの暗号化がされておらず、
・メールアドレス
・ログインパスワード
・ハンドルネーム
・性別
・誕生日
・住所
といった部分が第三者によって取得が容易な状態だったのです。
ホテル事業において、個人情報漏洩は信頼の失墜に直結する事故でもあります。
さらに、それが他社システムではなく自社の杜撰なセキュリティ意識・対策であった場合は、社会的損失は甚大になるでしょう。
高級ホテルチェーンでは、2018年と2020年に2度の不正アクセスによる個人情報漏洩が起こっています。
内容としては、従業員のアカウントを用いて、大量の顧客情報へアクセスしている形跡が確認されたものです。
実際に個人情報が盗まれたという確定的なものではありませんが、形跡は約520万件にものぼったようです。
2018年の被害では、3億件以上の顧客情報への不正アクセスが認められました。
従業員が悪用しているのか、アカウント自体が乗っ取られたのかは定かではありませんが、どちらにせよ個人情報が流出するような脆弱性が認められたのは事実です。
ホテル業界で起こる情報漏洩は、以下のような原因・手口によって起こります。
・マルウェアの巧妙化
・フィッシングサイト・メール
・従業員および退職者の情報不正取得
では、それぞれの原因・手口について詳しく見ていきましょう。
IT技術の発展に伴ってセキュリティ対策も堅牢にはなっているものの、同時にマルウェアの巧妙化も如実になっています。
最近では、トロイの木馬の1種である「Emotet(エモテット)」も代表的なマルウェアです。
トロイの木馬やスパイウェアのようなマルウェアは、自己増殖や寄生をせず、無害なソフトウェア・アプリに扮して潜り込みます。
こうした、ウイルス対策ソフトに検知されにくいようなマルウェアが、ホテル事業の個人情報漏洩にも影響を与えています。
会社のパソコンを経由してフィッシングサイト・あるいはウイルスを保有しているメールを閲覧することでも、個人情報漏洩事故に繋がる可能性が高いです。
フィッシングサイトやメールは、主に架空サイトに入力した情報をもとに個人情報を盗む手口なので、ホテル事業者側が漏洩させるのは少ないでしょう。
ただし、キーロガーのようなソフトをインストールさせる手口だと、ホテルの管理システムの情報を盗むことが可能です。
そうなると、ホテルの顧客情報へ不正アクセスも実現不可能ではありません。
個人情報漏洩は、外部からの不正アクセスだけではなく、従業員や退職者といった内部から流出する可能性もあります。
例えば、ホテルの従業員を高額で雇い、個人情報を取得するよう促す手口です。
また、管理システムのパスワードなどを知っている退職者が、不正アクセスを行って情報を窃取することもできるでしょう。
顧客の個人情報漏洩によって起こる被害は甚大であり、賠償責任が問われてしまうと、いくら高額で雇われたとしても賄い切れるものではありません。
では、個人を含む情報漏洩を防ぐために、できる具体的な対策を解説します。
・提携サービスやWebサイトの脆弱性対策を徹底する
・セキュリティ対策ソフトの導入
・社内でセキュリティに関する研修を行う
・顧客への情報漏洩防止の呼びかけを行う
それぞれで実行できる対策があれば、迅速に導入しておきましょう。
提携サービスおよびWebサイトの脆弱性は、ホテル事業の活動に大きく影響するため、徹底した診断と伴った対策を講じるべきです。
脆弱性を悪用する攻撃として
・SQLインジェクション
・クロスサイトスクリプティング
・OSコマンドインジェクション
・ディレクトリトラバーサル
・バッファオーバーフロー
といったものが代表的です。
利用を検討している他社のサービスやシステムにおいても、脆弱性がないかどうかは判断が必要になります。
個人情報漏洩は1度起こってしまうだけでも甚大な被害が起こるので、徹底した意識で対策を行いましょう。
最も効率的かつ効果的な対策としては、セキュリティ対策ソフトの導入が最適です。
マルウェアの巧妙化を考えると、最新のセキュリティ対策ソフトの導入、およびアップデートが行われたらすぐに更新するのがいいでしょう。
ファイアウォールやIPSをはじめ、アクセス管理など、高セキュアなセキュリティ対策ソフトを選定し、ホテルを利用する顧客の安全を守るようにしてください。
内部からの個人情報漏洩を防ぐには、社内のセキュリティ意識を高める研修を行うのがおすすめです。
定期的に、個人情報漏洩の被害や損失について再認識してもらい、社内全体でセキュリティを徹底管理しましょう。
また、アクセス管理の権限を持っていた従業員が退職した場合には、パスワードの変更や管理IDやアクセス権限の削除も忘れずに行ってください。
ホテル業界においては、顧客への情報漏洩防止の呼びかけも効果的です。
・フィッシングサイトや自社を装ったメールは開かないように促す
・自身が保有しているスマホ・パソコンでホテルの予約やログインをする
といった呼びかけを行い、顧客のセキュリティ意識の向上も図っていきましょう。
今回は、ホテル事業の個人情報漏洩から、セキュリティの重要性と対策法について解説しました。
サイバー攻撃は止まることを知らず、ホテル事業者にとって脅威であるため、徹底したセキュリティ対策が必要です。
個人情報は顧客が信頼した結果得られる大切なものなので、ぜひセキュリティ対策を徹底し、保護と管理を行っていきましょう。
