旅行業界に求められる情報セキュリティ

コロナ禍による入出国制限が撤廃され、訪日外国人客数も戻りつつあります。パンデミック以前の調査で2019年には3,000万人を超える訪日外国人客数を記録しており、2025年の大阪万博へ向けこの記録が更新され続けるのではといわれています。インバウンド消費は年間で4兆円を超える規模とされており、同様の輸出品目のなかでは半導体電子部品や自動車部品と肩を並べる勢いとなっています。

インバウンドの勢いが話題となる一方で、日本国内の旅行消費額も年々伸びており、年間で17兆円という大きなマーケットとなっています。この10年間で大きく飛躍したインバウンド消費が注目されていますが、国内の消費額が圧倒的に多いのが実態です。双方を合わせると20兆円を超える市場規模となり、日本経済における旅行・観光の重要性は日に日に増している状況です。

旅行・観光業は裾野が広く、食品や農林水産業、小売りや運輸など、さまざまな産業・業界に恩恵をもたらすとされています。以下、生産波及効果や雇用誘発効果のデータにあるとおり、経済効果は計り知れません。

参照：東京商工会議所　わが国の観光復活に向けた産業・地域振興に関する重点要望（概要）

また、旅行業界はIT化、デジタルトランスフォーメーションの勢いがあります。空港での出入国の管理はパスポートのIC（集積回路）チップおよび顔認証システムが採用され、ほとんどの飛行機やタクシーの予約・手配から決済までスマートフォンで可能です。翻訳ツール、写真・画像、SNSなどのデジタルツールは旅行を楽しむために欠かせないものとなっています。

技術革新と共に懸念されることは、そこに潜む脅威、インシデントです。実際に、旅行・観光業界では多くの情報漏洩やサイバー攻撃が報告されています。世界的な宿泊予約サイトの仕組みを悪用して顧客のクレジットカード情報を盗んだり、利便性を高めるためのクラウドサービスから個人情報が漏洩してしまったりと、被害は多岐にわたります。

利用者本人が対策を講ずるには限界があり、提供側である企業に責任が求められます。完全な対策といったものは存在しないかもしれませんが、情報漏洩やサイバー攻撃の可能性を限りなく少なくする、あるいはインシデントが起こった際に、影響や被害を最小限に抑えるためのリスクアセスメントは、事業者側が事前に講ずる手段として非常に有効です。

旅行業界では、情報セキュリティに関するマネジメントシステムISO27001の枠組みを用いて、認証を取得してPDCAサイクルを回している組織が増加しています。また、近年はISO27001のアドオン認証であるクラウドサービスセキュリティISO27017や、クラウド上の個人データ保護のためのISO27018を取得する組織も増えています。

観光・旅行におけるサービスでは、サービスを受ける個人が情報を多く提供する必要があります。事業者とのやり取りに多くの個人情報が含まれ、場合により海外の事業者とのやり取りが発生するため、より一層の対策が求められます。ISO27001の2022年版で管理策として「脅威インテリジェンス」が定められており、変化する脅威の状況について情報を収集し、分析することが記載されています。また、「情報の削除」という管理策もあり、蓄積しがちな過去の情報の削除、削除したことの記録が求められています。

株式会社日本旅行が、ビューローベリタスにて業界初のクラウド個人情報保護規格ISO27018を取得しました。BV MAGAZINE2023年12月号にてケーススタディを公開しておりますので、ぜひご覧ください。
CASE STUDY：株式会社日本旅行（ISO27018）

システム認証事業本部 鈴木 雄大