英国の規制当局、ブリティッシュ・エアウェイズの2018年データ流出で記録的となる2600万ドルの罰金を課す
英国情報長官事務所(ICO)は、ブリティッシュ・エアウェイズに対して大幅に減額された罰金を課し、2018年に発表された航空会社のデータ流出をめぐる2億3800万ドルのペナルティを2600万ドルまで引き下げました。
この情報漏洩により、氏名、住所、支払いカード情報、一部のBAロイヤルティプログラム情報、一部の従業員および管理アカウントなど、40万人以上のさまざまな個人情報が侵害されました。
ICOは、「組織が人々の個人データについて不適切な判断を下した場合、人々の生活に大きな影響を与える可能性があり、この法律はセキュリティ投資を含め、企業がデータについてより良い判断を下すことを奨励するためのツールを提供してくれるだろう」と言っています。
今回の事件は「影響を受けた人数の多さと、潜在的な金銭的被害がより重大であった可能性があるため、重大な失敗」とされています。
ICOは罰金を減額するにあたり、COVID-19がBAに与えた影響を考慮しています。
また、ICO は欧州連合の一般データ保護規則(GDPR)に違反したとして、英国データ保護法に基づいて罰金を課していますが。本件は英国がEUを離脱する前にサイバーイベントが発生したことから、この調査ではすべての加盟国のGDPRの主管機関としてICOが機能しました。
GDPRに基づく規制措置が過熱し、罰金が科せられる中、調査や損害賠償がサイバー保険の対象になるかどうかに注目が集まっており、特に従業員の監視行為をめぐる衣料品小売業者H&Mに対する4100万ドルの罰金が科せられた後は注目が集まっています。米国を拠点とする企業は、GDPRやカリフォルニア州消費者プライバシー法(CCPA)、その他のデータプライバシー規制の下でリスクに直面しています。
補償範囲の問題がどのように展開されるかは、管轄区域、個々の保険契約、規制当局によって異なると言われています。
すべての国や地域において、規制上の罰金を保険に入れることができるわけではなく、刑事罰や懲罰的な罰則は保険に入れることができないことが一般的です。
ウィリス・タワーズ・ワトソンのシニアブローカーであるGamelah Palagonia氏によると、いくつかの罰金の保証性は、故意または無意識の違反に起因する可能性があるとのことであり、「我々はこれらがどのように展開されるかを見なければならないだろう」と言っています。