保険の対応を試すマリオット社の情報漏洩

13 June 2019

原文: MARRIOTT BREACH TO TEST INSURANCE RESPONSE

ホテルグループ、マリオットインターナショナル社で発生した過去最大規模の情報侵害は規制当局にとっても保険会社にとっても重要なステップとなる可能性がある。

 

201811月下旬、マリオット社は、Starwood Hotelの予約システムでハッカーが最大5億人の顧客の個人情報への不正アクセスを行ったことを発表した。マリオット社は201898日に情報侵害を特定したと述べているものの、侵害は2016年にマリオット社がStarwood社を合併するより前の2014年から始まっていたという。以後、同攻撃は中国人ハッカーらのスパイ行動に繋がっていた。

 

多くの個人情報を保有し、予約やゲストサービスをテクノロジーに依存しているホテルはハッカーらにとって魅力的な標的だ。アプリケーションやスマートフォンを使用しチェックインやドアの開錠、サービスの注文、エアコンやエンターテイメント機器の使用をゲストに推奨するホテルはますます増加している。また、ホテルはカード支払いのプロセスから人員、メンテナンスまで外部のベンダーに依存しており、これらは単独のネットワークで接続されていることが多い。

 

2010年以降、ホテルに関連する情報侵害は12件以上発生している。201810月、ハイアットホテル社はここ数年で2回目の決済カード情報の侵害を受けており、ヒルトン社は2014年と2015年に発生した2つのクレジットカード情報侵害の対応について70万ドルの罰金を課された。201811月にはラディソン・ホテル社がセキュリティインシデントによって自社のロイヤルティプログラムの会員が被害を受けたと発表しており、ホテルの予約を専門とするRadisson Group 社は複数のホテルグループに影響を及ぼす情報侵害を受けた。

 

大規模な情報侵害

 

マリオット社の情報侵害はホテル業界最大の規模であり、30億人のユーザーアカウントが侵害された2013年の米ヤフー社に次ぐ2番目の規模だ。マリオット社は情報侵害事件についてすでに関連当局への報告を行い、被害を受けた顧客への通知も開始していると発表した。

 

この侵害のコストは訴訟費用や追加のセキュリティ対策、および侵害対応費用で―数十億ドルはいかないにせよ―数億ドルにのぼる可能性がある。米ヤフー社は2013年の情報漏えいで4,700万ドルの訴訟費用に直面し、Target社やHome Depot社は2013年、2014年にそれぞれ発生した情報侵害により2億ドルのコストが発生した。Ponemon社は大規模情報侵害(5,000万件)の平均コストを3.5億ドルと試算しており、3-5億人の顧客の場合、コストは20-35億ドルに達する可能性がある。

 

また、マリオット社は20185月に施行されたEUの厳しい情報保護法、一般情報保護規則(GDPR)の巨額な罰金に直面する可能性がある。GDPR下では深刻な侵害について全世界売上の最大4%が罰金として課されることになりっており、これはマリオット社の場合、約9億ドルとなる。マリオット社のヨーロッパ本社が所在するイギリスの情報コミッショナーオフィス(ICO)はマリオット社から情報侵害の通知があったことを認めた。

 

GDPRは企業に対し、情報侵害の発覚から72時間以内に当局に通知を行う事を求めている。しかし、マリオット社の情報侵害は2014年から始まっており、いつ、どの情報が侵害されたのかを調査するのは難しい。マリオット社は侵害の範囲を把握した時点で当局にインシデントの通知を行い、GDPR下で求められる全ての報告書を集めたと述べている。

 

集団訴訟

 

訴訟費用は情報侵害コストの大部分を占める見込みだ。ハッキングが報道された後、マリオット社の株価は5.5%下落し、数時間以内に同社に対する最初の集団訴訟が数件、米連邦検事に届けられた。顧客の原告訴訟の1つは125億ドルもの損害賠償を請求している。

 

既に米国における情報侵害の特徴となっている訴訟は、今やヨーロッパでも広がっている。新たな規制では顧客が侵害による精神的苦痛など非財務的損失に対する求償を行う事が可能となっていることから、集団訴訟はGDPR下でより魅力的なオプションとなっている。Thales社の調査によれば、GDPR後、69%の消費者が法的措置を検討するという結果となっている。

 

British Airways社やEquifax社、Ticket Master社などイギリスで発生した情報侵害の後、多くの法律事務所が集団訴訟を起こしている。Hayes Connor Solicitorsはイギリスでマリオット社に対する集団訴訟を起こす意思を表明している。

 

2018年の始め、イギリス初の情報侵害に対する集団訴訟である小売業Morrisons社のケースにおいて高等裁判所が裁定を下した。この訴訟では、会社に不満を抱き10万人分の従業員情報を窃取、インターネットに公開した元従業員の犯罪行為について、様々な責任がMorrisons社に課されており、情報侵害訴訟でかかる巨額のコストと、サイバー保険の必要性が強調された。高等裁判所の裁判官は保険を活用し情報侵害における賠償責任から自身を守ることを企業に提案している。

 

補償

 

 

情報侵害発生後、マリオット社は保険請求に向け保険会社と連携を行っていると述べた。マリオット社の年次報告書は同社がサイバー保険に加入していることを示唆しているものの、免責金額や補償の水準については開示されていない。メディアは同社が250億円から350億円のサイバー保険に加入しているとの推測を報じている。

 

この情報侵害は保険会社にとって多額の保険請求をもたらす可能性があり、保険契約がどのような対応を行うか大きな注目が集まっている。表面的には保険請求自体は単純に見えるが、攻撃の開始時期や誰が、いつ侵害を認知したのか、また、損害を軽減するためにとられた施策など、保険会社は保険事故を査定において様々な分野を検討する。また、争訟費用や罰金などを含むインシデント後のアクションについて保険契約がどのように対応を行うのかも興味深い。

 

マリオット社の保険が全額求償されたとしても、情報侵害の損失に対する合計コストは同社グループのサイバー保険の補償額を上回るだろう。年次報告書と説明の中で、マリオット社はサイバー保険の潜在的な制限と今後の補償の可用性について予測を立てているように見える。

 

“我々はサイバーリスクに関連した特定の損害から自身を守るためのサイバー/個人情報保険に加入しているものの、保険の補償がサイバー攻撃やセキュティ侵害、その他関連侵害における全ての損害または全ての保険請求に対し十分ではない可能性がある。さらに、今後そのような保険が購入に値する条件で購入できるのか、また購入自体が可能かは未知数だ

 

保険金支払いの事例

 

サイバー保険の購入増加に伴い、保険会社は近年、複数の保険事故に対し支払いを行っている。1.45億人の顧客に影響を与えたEquifax社の2017年の情報侵害では、2018年に4.3億ドルのコストが企業にかかると予測されている。同社は1.25億ドルのサイバー保険に加入しており、9500万ドルの補償を保険から得たと述べている。

 

昨年、米製薬会社Merck2017年にランサム攻撃を受けた後、数億ドルの求償を保険会社におこなったことが明らかになった。Equifax社と同様、Merck社のサイバー保険の補償範囲は十分であるとは考えにくい。2018年のはじめ、Merck社は既にサイバー攻撃により売上に2.3億ドルの影響が出ており、追加コストで3.2億ドル、さらに2億ドルの損害を予測していると述べた。同社は保険会社から4,500万ドルを受け取っている。保険業界の統計機関であるPCSProperty Claim Services)は保険会社が最終的に少なくとも2.75億ドルを支払うだろうと予測している。

 

サイバー保険に関するお問合せはこちらより送信ください。