“攻撃に終わり無し”、業界全体での対策向上を(情報共有会議)
観光庁は9月30日、第3回「情報共有会議」を開き、「旅行業界情報流失事案検討会 中間とりまとめ」で示された対策の進歩状況や、中長期のサイバーセキュリティ対策についての報告を行った。観光庁の蝦名邦晴次長は、クラウドシステムを利用した情報セキュリティの管理について「今回の事案では、旅行会社とクラウドサービスを提供している事業者との責任分担の曖昧さが、対応の遅れに影響した。個人情報の漏えいは、直接経営に直結する」と注意喚起し、終わりのないサイバー攻撃に対し、業界全体で取り組む必要性があると言及した。
中間とりまとめで示された対策の進歩状況について、同庁は本年度中に旅行業者のシステムに対応したガイドラインの策定や、インシデント情報を共有するためのメーリングリストの整備、ポータルサイトの立ち上げを行うため、2017年度予算において要求を行っていることを明らかにした。また、業界全体でのサイバーセキュリティ向上のための取り組みとして、9月7日に日本旅行業協会と全国旅行業協会が共同で「ITセキュリティ特別委員会」を設立。同委員会は、今後の旅行業界のサイバーセキュリティ対策の中核を担うとして、同会議に出席した旅行会社に向けて、積極的な参加を促した。
中長期のサイバーセキュリティ対策の重要点として、(1)体制の整備(2)情報収集(3)インシデント発生時の社内緊急対策手順の標準化(4)抑止策の実施(5)復旧策の準備(6)教育(7)PDCAサイクルの構築――の7点を明示。とくに抑止策の実施に関して、各旅行会社が保有するシステムは複雑な構造になっているものが多く存在するため、システムのどの部分に個人情報や、重要情報があるのかなどを総点検し、適宜リスク評価を行ってほしいと出席者に働きかけた。
