ゲストの情報が盗まれた!もし民泊ホストがフィッシングメール・なりすましメールに引っかかってしまったら
今、民泊施設をねらったハッキング被害が急速に増えています。ハッキングを未然に防ぐのはもちろんですが、ゲストの情報が盗まれてしまった場合の対処法も知っておきましょう!
複数のOTAを1ヶ所で管理できる「Beds24」の無料トライアルはこちらから>>
ハッキング被害にあったらやるべき6つのステップ
Beds24のnoteや代表長坂のX(Twitter)でもたびたび注意喚起をしていますが、今、民泊やホテル事業者を狙ったハッキングが急増しています。最近のハッキングは巧妙で、気をつけていても見分けをつけるのは難しいです。
もし被害にあってしまった場合には、パニックにならず冷静に対処することが肝心です。本日は、ハッキング被害にあった民泊事業者がやるべきことを6つのステップでご紹介します。
①状況の確認と隔離
まずは、状況を確認しこれ以上被害が広がらないように応急対策をしましょう。
・感染源を特定し、マルウェアに感染した媒体をネットから遮断する
・直ちにすべてのOTAのパスワードを変更する
・OTA内の個人情報や設定言語などが変更されていないか確認し、影響範囲を特定する
②24時間以内にプラットフォームへの連絡
ハッキングの被害が発生した場合は、必ずプラットフォームに連絡をします。Booking.comでは、アカウントの不正利用やその疑いがあった場合、24時間以内の報告が義務づけられています。
③ゲストへの通知
影響を受けた可能性のあるゲストに対して、
・流出した情報の内容
・起こりうる事態(例:フィッシングメール送信)
・ゲストがとるべき対策
を含めて、速やかに情報流出の事実を通知します。下記にゲストへ周知する場合の例文を記載しますので、参考にしてください。
被害ゲストへの通知文(例)
重要なお知らせ:お客様情報の流出に関するご報告
〇〇様
お世話になっております。[施設名]です。
平素より当施設をご利用いただき、誠にありがとうございます。
この度、当施設で利用している予約システム[OTA名]において不正アクセスが発生し、お客様の個人情報が流出した可能性があることが判明いたしました。
流出した可能性のある情報は以下の通りです:
・氏名
・住所
・電話番号
・メールアドレス
・クレジットカード情報(可能性あり)
現時点で確認されている被害として、フィッシング詐欺メールが送信されるケースが報告されています。万が一、不審なメールやリンクを受け取られた場合は、リンクをクリックせず当施設までご連絡いただきますようお願い申し上げます。
お客様にはご迷惑とご心配をおかけし、心よりお詫び申し上げます。現在、[OTA名]など関係機関と連携をとりつつ、状況の把握および再発防止に努めております。また、被害を受けたお客様には個別に対応させていただきますので、ご不明な点がございましたら、下記の連絡先までご連絡ください。
【お問い合わせ先】
重ねてお詫び申し上げますとともに、今後とも当施設をご愛顧賜りますよう何卒お願い申し上げます。
④一般周知
次に、ホームページなどで一般向けにも情報を公開します。一般周知は義務ではありませんが、ホストとして誠意ある対応をしていることを示すためにも、情報を公開しておくほうがベターでしょう。
ここでも例文を提示します。
一般周知用の掲示文(例)
重要なお知らせ:個人情報流出に関するご報告とお詫び
平素より[施設名]をご利用いただき、誠にありがとうございます。
この度、[OTA名]で予約された一部のお客様の個人情報が流出した可能性があることが判明しました。
具体的に流出した可能性のある情報は以下の通りです:
・氏名
・住所
・電話番号
・メールアドレス
・クレジットカード情報(可能性あり)
現時点で確認されている被害として、フィッシング詐欺メールが送信されるケースが報告されています。万が一、不審なメールやリンクを受け取られた場合は、リンクをクリックせず当施設までご連絡いただきますようお願い申し上げます。
現在、[OTA名]など関係機関と連携をとりつつ、状況の把握および再発防止に努めております。また、被害を受けたお客様には個別に対応させていただきますので、ご不明な点がございましたら、下記の連絡先までご連絡ください。
お客様には多大なご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。
【お問い合わせ先】
⑤セキュリティの強化
事態が落ち着いたら、改めて施設のセキュリティ対策を強化しましょう。
(1) OTAパスワードの変更
パスワードの使い回しはもっての他です。推測されづらいパスワードに変更し、管理の仕方も見直しましょう。
(2) セキュリティ強化ツールの導入
セキュリティ対策ツールや検知ツールを使いサイバーセキュリティを強化しましょう。Beds24では「フィッシングバスター」という独自システムで、なりすましメールを検知しています。
セキュリティ強化ツールはハッキング防止だけでなく、早期発見や被害拡大にも重要ですので、必ず導入されることを強くおススメします。
(3) スタッフ教育
ハッキングの主な手口の1つに、ゲストからのなりすましメールがあります。スタッフがよく確認しないまま添付ファイルを開いてしまい、マルウェアに感染したという事例も聞きます。ご自身が気をつけるだけでなく、メンバー全員でセキュリティ意識を高めましょう。
⑥個人情報保護委員会への報告(対象の場合のみ)
個人データの漏洩が発生し、個人の権利・利益を害する恐れがあるときは、個人情報保護委員会への報告(3~5日以内)が義務づけられています。
対象となるのは
・要配慮個人情報が含まれる
・財産的被害が生じる可能性がある
・不正の目的をもって行われた漏洩などが発生した
・1,000人を超える漏洩等が発生した
事態です。
状況によって報告が必要な場合とそうでない場合がありますので、不明な場合は個人情報保護委員会へ相談をしてください。24時間自動応答のチャットや電話相談も受け付けています。
***
ハッキングは誰がいつ被害者になるかわかりません。もしものときに備えておきましょう。
(文:伹馬 薫)