情報流出検討会が再発防止策、旅行会社に責任者、ガイドラインも
観光庁は7月22日、ジェイティービー(JTB)などの個人情報流出事案を受けて立ち上げた「旅行業界情報流出事案検討会」の第2回会合で、早期に取り組むべき再発防止策について議論し、観光庁が提示した中間取りまとめ案を大筋で了承した。各旅行会社における情報セキュリティ責任者の任命などを柱としたもので、今後は微修正などを施し、28日に旅行会社向けに開催する第2回の「情報共有会議」で詳細を発表する。より具体的で中長期的な再発防止策については、旅行業のシステムに対応したガイドラインを策定する方針も決めた。
会合の冒頭では観光庁次長の蝦名邦晴氏が「旅行業界は中小企業の占める割合が大きく、大手企業が講じられるような体制を整えることは難しい」と述べ、中小企業でも取り組める対策に向けた議論を要望。また、「攻撃する側も日進月歩を続けるなか、こちらも絶えず効果的な対策を打ち続けなくてはいけない」とし、「金融業などの先進的な対策を参考にし、旅行業界全体で信用を取り戻さなくてはいけない」と呼びかけた。
終了後にブリーフィングをおこなった観光庁によると、この日の会合では、すべての旅行会社が「必ず実施すべき対応」、資金や人材の面などで制約がある中小企業などに向けた「することが望ましい対応」、「観光庁が支援すべき対応」などの観点から取りまとめた対策案を提示。委員から特段の異論はなかったという。
すべての旅行業者が早急に取るべき対応としては、CISO(最高情報セキュリティ責任者)の任命や、個人情報サーバーとインターネットを使用するシステムをアクセス制限などにより分離する措置を講じることなどを示した。また、日本旅行業協会(JATA)や全国旅行業協会(ANTA)などの事務局内に、情報セキュリティ担当者を任命し、業者間の情報交換をはかることも盛り込んだ。
中小企業については「大手旅行業者と同様の対応が望ましい」とした上で、アンチウイルスソフトを更新するなどの基本的対策を提案。個々の企業での対応が困難な場合には、JATAやANTAなどに相談窓口や緊急対策チームを設置するなど、業界団体での対応を検討するよう求めた。また、システム全体を外部委託するクラウドサービスの活用や、サイバー保険に付帯する緊急時サポートサービスの活用も考えられるとした。
観光庁が早急に取るべき対応としては、旅行会社や宿泊施設において情報セキュリティに関する事故などが発生した場合に、自然災害などの非常時と同等の対応を取ることなどを盛り込む。
観光庁は今後も同検討会を開催し、8月以降におこなう第3回会合でガイドラインの策定に向けた検討を始める方針。策定の時期については、来年以降となる見込み。また、情報セキュリティの強化に向けて業界全体で取り組む体制をめざすため、旅行業界で発生した事案を共有するためのウェブサイトやメーリングリストの整備などについても検討するとした。