旅行業・観光業DX・IT化支援サービス

情報流出検討会、2事案の検証完了、年度内に暫定ガイドライン

  • 2016年9月20日

 観光庁は9月16日、ジェーティービー(JTB)と札幌通運の個人情報流出事案を受けて設立した「旅行業界情報流出事案検討会」の第3回会合を開催した。札幌通運がセキュリティ会社による調査などを経て、8月31日付で観光庁に再発防止策を含む最終報告書を提出したことを受けたもの。終了後にブリーフィングをおこなった観光庁によると、委員は報告について一定の評価を下し、両社の事案についての検証や再発防止に関する議論は、一旦区切りが着いた形となった。そのほか、中長期的な再発防止策を示すガイドラインについては、今年度中に暫定版を策定し、来年度に改訂を実施して完成版を作成する考えを示した。

 札幌通運はこの日の会合で、事案発生後の取り組みとしてクラウドセキュリティシステムを導入するなど、セキュリティ対策を強化したことを報告。また、情報セキュリティ最高責任者(CISO)の任命や、ウェブサイト運営の委託先を管理するルールの整備など、内部体制の整備に関する措置も講じたことなどを説明した。

 事案発生後から停止しているクレジットカード決済については、情報の入力時に代行会社が運営するシステムの決済用画面にリンクする仕組みを構築。同社のシステム上でカード情報を処理・保管しない仕組みに変更したという。カード決済の再開日時については、ウェブサイト上で後日案内する。

 この日の会合では、検討会が7月の第2回会合で定めた中間とりまとめで示した早期に取り組むべき再発防止策の、関係各社による実施状況についても説明がおこなわれた。観光庁は来年度にめざすガイドラインの策定と、情報共有のためのメーリングリストの整備およびウェブサイトの開設に向けて、17年度の概算要求で計3100万円を要求したことを説明。ガイドラインの策定については、日本旅行業協会(JATA)と全国旅行業協会(ANTA)が9月7日に共同で設立した「ITセキュリティ特別委員会」が中心となって協議を進めるという。

 そのほかの進捗状況としては、JATAとANTAが7月にサイバーセキュリティに関する担当者を任命。8月には両会ともに相談窓口の設置に向けた検討を開始した。JATAは8月から会員会社向けに「JATAサイバーリスク団体保険」の取り扱いを開始したことも報告。ANTAも団体保険の開発について、損保会社に相談しているという。

 観光庁観光産業課調査室長の齊藤敬一郎氏は「検討会は(札幌通運の報告を受けて)終了するわけではないが、とりあえずひと区切りがついた」と述べ、当面は「中間とりまとめ」で示した対策を進めながら、新たに報告が必要になった際や、情報流出事案が発生した場合などには、会合を再開する考えを示した。観光庁は9月末には旅行会社向けの「情報共有会議」の第3回会合を開催し、今回の検討会の議論や、JTBの中長期的なサイバーセキュリティ対策などを紹介する予定。