ホテルニューグランド、予約システム運営企業「Preferred Travel Group」への不正アクセスで個人情報漏洩の可能性

神奈川県横浜市に本拠を構えるホテルニューグランドは2025年5月2日、同ホテルが利用している宿泊予約システムの運営委託先である米国法人「Preferred Travel Group」において不正アクセスが発生し、顧客の個人情報が漏洩した可能性があると公表しました。

本件は、外国語による直接予約機能を担うシステムへの外部からの不正アクセスによって生じたもので、2024年10月16日から2025年1月6日までの期間に予約情報を保管していた顧客データが対象とされています。

漏洩の可能性がある個人情報

影響を受けた可能性のあるデータは以下の通りです：

• 氏名

• 住所

• メールアドレス

• 電話番号

• クレジットカード／デビットカード名義人氏名

• カード番号の下4桁

• 宿泊ホテル名

• 宿泊料金

• チェックイン日

現時点では、悪用被害（なりすましや不正利用）の報告は確認されていません。

 発覚からの経緯と対応状況

• 2025年4月4日：Preferred Travel Groupより、外部からの不正アクセスについてホテルニューグランド側へ報告

• 同日以降：個人情報保護委員会への通報、社内確認を即時実施

• 一時的に新規予約を停止し、再発防止策や調査対応の確認が取れたため、現在は予約を再開

• 今後の対応：Preferred Travel Groupより詳細な調査結果が開示され次第、公式サイトにて続報を発表予定

対象顧客への連絡と注意喚起

連絡先が判明している対象顧客には、Preferred Travel Groupより個別に電子メールで通知される予定です。

また、ホテル側は以下のような不正行為に対する警戒を強く呼びかけています：

• フィッシングメール

• なりすまし

• クレジットカード詐欺

心当たりのないメールへの応答やリンクのクリックには十分注意が必要です。

東急ホテルズ&リゾーツでも同様の被害が判明

同じくPreferred Travel Groupの予約システムを利用していた東急ホテルズ&リゾーツ株式会社でも、同様の不正アクセスによる個人情報漏洩の可能性が2025年4月30日に発表されました。

東急ホテルズでの被害概要（2025年4月4日報告）

• 対象期間・対象情報はニューグランドと同様

• 被害報告件数：18施設・合計1031件の予約データ

  • 例：セルリアンタワー東急ホテル（403件）、ザ・キャピトルホテル東急（330件）、渋谷エクセルホテル東急（157件）など

• 既に個人情報保護委員会へ報告済

• 4月時点で悪用報告はなし、予約再開済

本件は、「自社以外の委託先による情報管理がインシデントの引き金になる」ことを示す典型的な事例です。情報システム部門としては、以下のような観点で再確認をおすすめします：

• 委託先に対するセキュリティ基準の評価と監査体制の整備

• 漏洩時の通報・対応フローの明文化と訓練

• 顧客通知・広報連携を含むCSIRT対応の強化

委託業務であっても、自社ブランドが直接的に損なわれるリスクを持つことを改めて意識すべきでしょう。