旅行業で相次いだ個人情報の流出問題を受け、観光庁が設置した有識者会議「旅行業界情報流出事案検討会」は7月28日までに再発防止策をまとめた。旅行業が講じるべき対応として、システム面の対策とともに、情報セキュリティに関する責任者や対策部署の設置を提言。中小規模の旅行業には個々の対応に困難もあるなどとして、業界全体として対策を講じるように求めた。
旅行業が早急にとるべき対応では、(1)情報セキュリティ最高責任者(CISO)の任命(2)サイバーセキュリティ対策部署(CSIRT)の設置(3)個人情報サーバーとインターネットを使用するシステムの物理的な分離—など体制とシステムの両面で対策を提言した。
中小規模の旅行業に対しても、大手と同等の対策が望ましいとしながらも、投資などが困難な場合には、アンチウイルスソフトの更新など基本的な対策を講じるよう求めた。また、クラウドサービスの活用、保険会社が提供するサイバー保険に付帯するサポートサービスの活用も提案した。
再発防止に向けては、旅行業界を挙げて取り組む重要性を強調した。旅行業団体に情報セキュリティ担当者を置き、事業者間の情報交換を促進することのほか、相談窓口やCSIRTの設置などに関する検討を求めた。
今後の検討事項には、情報セキュリティに関する旅行業界のシステムに対応したガイドラインの策定を挙げた。業界主導の策定を観光庁が支援することを期待した。
検討会は「旅行業各社の担当者の情報共有を深め、勉強会を定期的に開催するなど、情報セキュリティの向上のため、業界全体として取り組む体制を目指すべき」と指摘。情報セキュリティの向上ために金融業界が立ち上げた組織「金融ISAC」の活動などを参考にするように提案した。
7月28日には、観光庁と旅行業界でつくる情報共有会議の第2回会合が東京都内で開かれた。旅行業約110社・130人が出席。検討会がまとめた再発防止策などが報告された。