観光業界で相次ぐ流出問題を受け、
観光庁が始動。
いま観光業界がとるべき対策とは?

観光業界で相次ぐ流出問題を受け、観光庁が始動。 いま観光業界がとるべき対策とは?


旅行各社に情報責任者配置求める 観光庁、JTB問題受け

JTBの顧客情報流出問題を受け、観光庁は22日、旅行各社に「最高情報セキュリティー責任者(※)」の配置を求めることを柱とした再発防止策をまとめた。全国旅行業協会(東京・港)などの旅行関連団体には担当職員と相談窓口の設置を要請。中小の旅行会社でのトラブルへの受け皿とする。 

※最高情報セキュリティ責任者(CISO):Chief Information Security Officer 企業内で情報セキュリティを統括する担当役員。コンピュータシステムやネットワークのセキュリティ対策だけでなく、機密情報や個人情報の管理についても統括する例が多い。

(2016年7月22日 日本経済新聞 電子版)より抜粋


旅行業情報セキュリティ向上のために早急に講ずべき対策

2016年6月14日、(株)JTBより個人情報漏えいの可能性があるとの記者会見が行われた。会見では、同社に対する標的型メール攻撃により、約700万人分の情報漏えいの可能性が報告された。さらに翌々日16日には札幌通運㈱からも個人情報漏えい事案が発生したとの記者会見が行われた。こちらは同社のホームページに対する攻撃であり、2,519件の個人情報が漏えいし、クレジットカードの不正使用も認められた。

相次ぐ旅行業者の個人情報漏えいに危機感を感じた観光庁は、問題点の検証および再発防止策をとりまとめるため「旅行業界情報流出事案検討会」を設置。委員には淺野 正一郎 交通政策審議会会長(情報・システム研究機構国立情報学研究所名誉教授)をはじめ、西見 俊彦  国土交通省最高情報セキュリティアドバイザーなどが名を連ね、「旅行業情報セキュリティ向上のため早急に講ずべき対策」を発表した。

以下は、「旅行業情報セキュリティ向上のため早急に講ずべき対策」より抜粋。

旅行業界がとるべき対応

旅行業者

  • ・情報セキュリティ最奥責任者(CISO)の任命、サイバーセキュリティ対策部署(CSIRT)の設置、個人情報サーバーとインターネットを使用するシステムを物理的に分離する等、体制とシステム面で今回の事案を踏まえた処置を講じること
  • ・事業者団体の事務局内に情報セキュリティ担当者を任命、業者間の情報交換を図ること

中堅・小規模 旅行業者

  • ・中小旅行業者も大手旅行業者と同様の対応が望ましいが、まずはアンチウイルスソフトの更新等基本的な対策を講じること
  • ・個々の企業での対応が困難であれば、事業者団体に相談窓口やCSIRTを設置する等、業界団体として対応すべく検討をはじめること
  • ・クラウドサービスの活用やサイバー保険に付帯する緊急時サポートサービスの活用も

観光庁発表「旅行業界情報流出事案検討会 中間とりまとめ
~旅行業情報セキュリティ向上のため早急に講ずべき対策~」

◎こちらからダウンロードいただけます。

http://www.mlit.go.jp/kankocho/topics06_000080.html

再発防止のための提言

旅行業者が早急にとるべき対応としては、情報セキュリティ最高責任者(CISO)の任命、サイバーセキュリティ対策部署(CSIRT)の設置、個人情報サーバーとインターネットを使用するシステムを物理的に分離する等、体制とシステムの面で今回の試案を踏まえた処置を講じること。

日本旅行業協会(JATA)や全国旅行業協会(ANTA)の業界2団体の事務局内に情報セキュリティの担当者を任命し、業界内の情報共有を促進する。

また事業者団体の事務局内に情報セキュリティ担当者を任命し、業者間の情報交換を図ることが急務といえる。

ロンドンオリンピックでは、期間中に約2億回のサイバー攻撃を受けたといわれている。2020年の東京オリンピックを控え、訪日外国人数4,000万人を目標とする日本としては旅行業界の情報セキュリティ対策は早急に取り組むべき課題である。

観光業界に必要な情報セキュリティのポイント

POINT1
旅行業者は、情報セキュリティ最高責任者(CISO)の任命、サイバーセキュリティ対策部署(CSIRT)の設置、個人情報サーバーとインターネットを使用するシステムを物理的に分離する等の処置が必要
POINT2
大規模企業のように投資できない中堅・小規模旅行業者は、外部人材の委託やその人選、観光庁の支援等も含めて議論する
POINT3
アンチウイルスソフトの更新等基本的な対策
POINT4
複数の事案が同時発生する場合も考慮し、クラウドサービスの活用やサイバー保険に付帯する緊急時サポートサービスの活用