2025年5月、株式会社京王プラザホテルは、同社が主に外国語での直接予約ツールとして利用している宿泊予約システムの運営委託先「Preferred Travel Group(PTG)」において、外部からの不正アクセスによる個人情報漏えいの可能性が判明したと公表しました。
本件により、主に外国語で受け付けた予約情報1,210件(重複除外後978件)に関する個人情報が漏えいした可能性があるとされています。京王プラザホテルは「お客様に多大なご心配とご迷惑をおかけしたことを深くお詫び申し上げます」とコメントしています。
目次
漏えい対象となる個人情報の内容
以下の情報が、2024年10月16日から2025年1月6日までの間にPTGの予約システムに保管されていた可能性があります。
-
氏名、住所、メールアドレス、電話番号
-
宿泊情報(料金、日程、宿泊ホテル名など)
-
クレジット/デビットカードの下4桁、カード名義人氏名
なお、本件については個人情報保護委員会へも報告済みであり、PTGにはセキュリティ強化と再発防止策の徹底を強く求めているとのことです。PTGは既にシステムの安全対策を完了し、現在は問題なく利用可能です。
同様の被害:東急ホテルズでもPTG経由で情報漏えい
本件に関連し、同じくPTGの予約システムを利用していた東急ホテルズ&リゾーツやホテルニューグランドでも個人情報漏えいの可能性が明らかとなっています。
これらの事例から、PTGのシステムに対する不正アクセスが広範な影響を与えている可能性が懸念されています。
サプライチェーン上のセキュリティリスク管理が急務に
今回のインシデントは、宿泊業界が依存するサプライチェーン上のサービスに潜むセキュリティリスクを浮き彫りにしました。PTGのような外部ベンダーは、業界全体で幅広く利用されており、一つの脆弱性が多数のホテルブランドへ波及する「一次被害からの多発的な二次被害」を引き起こす可能性があります。
このようなリスクに対し、企業側には以下のようなサプライチェーンセキュリティの強化策が求められます。
委託先のセキュリティ監査と基準化
-
契約時点で情報セキュリティ要件(ISMS/IEC 27001等)の遵守状況を確認。
-
定期的な第三者監査レポート(SOC2、ISMS審査など)の提出を求める。
-
ベンダーが保有する個人情報の保存期間・アクセス権限を明文化する。
リスク評価と重要度に応じた分類管理
-
取引先・委託先を「情報接触度」「業務依存度」「過去のセキュリティインシデント履歴」に基づきリスクレベルで分類管理。
-
ハイリスクカテゴリに該当するベンダーには、定期的な脆弱性診断やペネトレーションテストを要請。
インシデント発生時の即時通報義務と対応フロー整備
-
情報漏えいや不正アクセスが判明した際には、企業本体への即時通報義務を契約に盛り込む。
-
CSIRT(セキュリティインシデント対応チーム)と委託先が連携する体制を平時から構築する。
共同訓練とBCP(事業継続計画)の連携
-
委託先を含めた共同でのサイバーセキュリティ演習を年に1回以上実施。
-
BCP(事業継続計画)においても、サプライチェーンの停止を想定した代替プロセスの整備を進める。
