旅行業の情報流出で再発防止策を議論、業界団体の対応窓口やガイドライン策定など -観光庁

観光庁は2016年7月22日の「第2回旅行業情報流出事案検討会」で、旅行業界全体の情報流出再発防止策について中間とりまとめ案を議論した。有識者の意見を踏まえた修正を反映させ、7月28日に開催する旅行業界向けの第2回情報共有会議で発表する。

再発防止策は、先のJTBおよび札幌通運の事案と、旅行会社に実施したアンケート結果(下段を参照)を踏まえて議論。特にアンケートでは事業者規模によって対応の差が明確になったことから、「必ず対応すべきもの」「対応するのが望ましいもの」といった程度や、「個社が対応」「業界全体で取り組むもの」「観光庁が支援すべきもの」など、中小旅行会社では対応が難しい場合のサポートを考慮して検討した。

旅行会社が早急にとるべき対応としては、情報セキュリティに関する最高責任者(CISO)の任命や、個人サーバーとインターネットを使用するシステムのアクセス制限等の措置。また、日本旅行業協会(JATA)や全国旅行業協会(ANTA)の業界2団体の事務局内に情報セキュリティの担当者を任命し、業界内の情報共有を促進する。

中小旅行業者が取るべき対応としては、大手と同様の対応が望ましいとした上で、アンチウイルスソフトの更新など基本的対策を求める。

また、中小旅行業者の対応をサポートできるよう、業界団体に相談窓口や情報セキュリティ専門の対応部署(CSIRT/シーサート)の設置なども検討。その際は、現状で業界団体も対応できる体制にないため、外部人材の委嘱やその人選、観光庁の支援等も含めて議論する。さらに、複数の事案が同時発生することも考慮し、クラウドサービスの活用やサイバー保険に付帯する緊急時サポートサービスの活用も念頭に入れる。

今後は、セキュリティ向上のための業界全体の体制構築や、旅行業のシステムに対応したサイバーセキュリティガイドラインの策定を目指す。体制構築については、旅行業界と同様に中小企業の多い金融業界の「金融ISAC」を参考に、旅行業界での発生事案などを共有するためのクローズドのホームページやメーリングリストの整備などを想定する。これらは次回の検討会で議論する予定。

旅行会社アンケートで事業規模の差が鮮明に

今回の中間とりまとめで参考にした旅行会社のアンケートは、6月末開催の「第1回情報共有会議」で実施したもの。回答者数は54社で、社員数300名以上は19社、300名未満は35社。

これによると、「情報セキュリティに関する規定(ポリシー等)がある」「社員に情報セキュリティの教育や研修を行なっている」「他社との情報共有を行なっている」のは、300名以上の事業者は100%・95%・79%に対し、300名未満は51%・49%・40%と大きく下回った。ただし、「情報セキュリティの対応部署やCSIRTがある」のは、300名以上が48%、300名未満が34%でいずれも半分以下となった。


関連記事>>

みんなのVOICEこの記事を読んで思った意見や感想を書いてください。