プリンスホテル、ホテル椿山荘、阪急阪神ホテルズなどで相次いで個人情報流出 いったい何が?

西武ホールディングス傘下のプリンスホテルは、6月26日都内で会見を開き、英語や中国語など外国人向けの予約サイトが不正アクセスを受け、約12万5000件の個人情報が流出したことを明らかにした。

ホテル椿山荘東京や新宿ワシントンホテルなどを運営する藤田観光の外国人向け予約サイトでも不正アクセスを受け、合計2万5470件の個人情報が流出したと発表

リッチモンドホテルを運営するロイヤルホールディングスも英語の宿泊予約サイトが不正アクセスを受け、合計6,261件の個人情報が流出したことを明らかにしていた。

さらに、阪急阪神ホールディングス傘下の阪急阪神ホテルズも、18 ホテルで合計7,674件の個人情報が流出したことを明らかにした。これらの個人情報流出に共通する点は、「外国人向けの予約サイト」であるという点だ。

 

▼個人情報流出から顧客への報告まで

日時事象
2018年6月15日ファストブッキングの所有サーバーへ不正アクセス。事象(1)による個人情報が流出。
2018年6月17日ファストブッキングの所有サーバーへ不正アクセス。事象(2)による個人情報が流出。
2018年6月20日ファストブッキングが事象(1)(2)の不正アクセスを把握。
2018年6月21日ファストブッキングがホテルなどの顧客に対して順次不正アクセスの被害を報告。
2018年6月26日ファストブッキングが不正アクセスの被害を発表。
同日以降~ファストブッキングの予約エンジンを利用し個人流出のあったホテルが個人情報の流出を発表

 

ホテルをサポートするはずの会社が個人情報流出の原因に

6月26日から複数のホテルで個人情報の流出に関するプレスリリースが相次いだのは、直接予約サービスなどのホテル向けソリューションを手掛けるフランス企業「ファストブッキング」によるものだ。

ファストブッキングは26日、同社の管理するサーバーに外部者による不正アクセスを受け、同社のサービスを利用していたホテルの宿泊者情報が流出したことを明らかにした。

ファストブッキング日本法人によると不正アクセスによる個人情報の流出は6月15日と17日(日本時間)に発生し、15日には国内380施設の暗号化されていない20万5137件の個人情報が流出、17日は国内189施設の暗号化された12万580件のクレジットカード情報が流出した。うち168施設は2日とも被害を受けたとしている。

《関連記事》ファストブッキングサーバーへの不正アクセスによる 個人情報および暗号化されたクレジットカード情報の流出について

ファストブッキング社より

 

ホテルの直接販売を強化するファストブッキングとは

ファストブッキングはホテルの直接販売をサポートするホテル向けソリューションを提供する企業で、2015年4月にフランス最大のホテルチェーンのアコーホテルズグループに買収されていた。

ホテルや旅館などの宿泊施設はこれまでBooking.comやExpediaなどのOTAに掲載し宿泊客を募集するのが一般的であったが予約ごとに10%~15%の手数料がかかることから、最近では公式サイトでの直接予約を強化する動きも強まっていた。

また2017年の訪日外国人が過去最高の2,869万人となり東京オリンピックに向けて訪日外国人のさらなる増加が予想されるが、ファストブッキングは多言語対応の予約エンジンを提供していることから、インバウンド強化を目的として国内でも利用ホテルが増えていた。

ファストブッキング日本法人によると、すでに不正アクセスの対応済みでこれ以上の被害拡大はないとの見解を示している。