マリオットとFTCとの和解: それが企業にとって何を意味するか

マリオット・インターナショナル・インクは、人々を第一に考え、卓越性を追求し、誠実に行動し、世界に奉仕するという核となる価値観を長年強調してきました。本日、FTCと49の州およびワシントンDCの司法長官が共同で、同社がそのリストに5番目の価値、つまり顧客データとプライバシーの保護を追加したいと考えている可能性を示唆する行動を発表した。

本日の訴状案によると、マリオット・インターナショナル・インクとその子会社スターウッド・ホテルズ＆リゾーツ・ワールドワイドLLCは、2014年から2020年の間に少なくとも3件の侵害につながるデータセキュリティ上の欠陥を抱えていた。まず、FTCは、2014年から2018年の間に悪意のある者が不正アクセスを行ったと述べている。脆弱なデータセキュリティを利用して、2つの別々の侵害でマリオットの子会社であるスターウッドから3億3,900万件の消費者記録を盗みました。これには、数百万件のパスポート、支払いカード、ロイヤルティ番号が含まれていました。そして訴状によると、2020年にマリオットは顧客に対し、フランチャイズホテルを通じて悪意のある者がマリオット自身のネットワークに侵入したと告げた。今回侵入者は、重要な個人情報やロイヤルティアカウント情報を含む520万件の宿泊記録を盗みました。訴状には、盗まれた情報は十分に詳細なものであり、悪意のある者がその情報を利用して、大成功を収めたターゲットを絞ったフィッシング キャンペーンを作成して詐欺を行う可能性があると説明されています。

FTCの訴訟を解決するために、マリオットとスターウッドは、個人情報を保護し、問題が発生したときに検出し、問題があれば適時に解決することによって将来の問題を防ぐことを目的としたプロセスとチェックの実施を義務付ける命令案に合意した。マリオットは州執行官との関連和解の一環として5,200万ドルを支払うことにも同意した。

マリオット事件から得た重要な教訓をいくつか紹介します。

• 他の会社を買収するときは、セキュリティ慣行を確認してください。 FTCの訴状によると、スターウッドの違反はマリオットが同社を買収する前からすでに発生しており、買収プロセス中もその後も継続していたという。会社を買収するときは、コンピュータ、ソフトウェア、システム、データベース、ネットワークなどの良いものを購入するだけではないことを忘れないでください。また、存在する可能性のある脆弱性、構成ミス、その他のセキュリティ問題などの問題も買っていることになります。買収した企業を安全に引き入れるための計画を立ててください。そして買収後は、買収先企業の情報セキュリティプログラムを注意深く見てください。問題を見つけたら、問題を見つけたら、それに対処する計画を立ててください。安全かつ確実に統合できるようになるまでは、買収した企業のシステムやテクノロジーを自社のネットワークに統合しないでください。
• データ セキュリティに対して多層的なアプローチを使用します。 個人情報を悪意のある人物から保護するには、内部リスクと外部リスクの両方を検討するリスク評価から始めます。基本的なセキュリティを超えてください。そして、問題がどこにあるのかを把握したら、複数の制御層を配置します。攻撃を認識するための従業員のトレーニング、アクセス制御の使用、ソフトウェアの更新、侵害が発生した場合の対処計画の策定など、いくつかの基本的な対策は大いに役立ちます。
• 必要なデータのみを収集して保管します。 悪意のある攻撃者は存在しないものを盗むことはできないため、データを収集する前にどのようなデータを収集するかを慎重に検討し、必要以上に長くデータを保存しないようにしてください。また、個人情報の削除を望んでいることを顧客に簡単に伝える方法を提供するようにしてください。
• ベンダーの監視がこれまで以上に重要になっています。 Web サイトの構築であろうと他の理由であろうと、ビジネスを手伝ってくれる誰かを雇う場合は、データ セキュリティを最優先にするベンダーを選択するようにしてください。契約を使用して、ベンダーが適切な管理を行っていることを確認し、ベンダーの活動を監視してベンダーが準拠していることを確認します。
• フランチャイズ加盟者を忘れないでください。 リスク評価に取り組むときは、フランチャイズ加盟者との関係を注意深く検討することを忘れないでください。契約では従業員のトレーニングやデータ セキュリティ プログラムが必要ですか?監査を行っていますか?問題がないか必ず監視してください。

顧客のデータとプライバシーの保護について詳しくは、「セキュリティから始める」をご覧ください。