ハイアット・ホテルズ・コーポレーションは、主に2015年8月13日から12月8日までの間に、ハイアットが経営する一部施設のレストランなどで支払いに使用されたカード情報が流出したと発表した。
マルウェアによって、支払い処理システムからカード名義、カード番号、有効期限、内部認証コードが流出したとみられる。日本では、ハイアット・リージェンシー箱根リゾートアンドスパ、ハイアット・リージェンシー京都、パーク・ハイアット東京、アンダーズ東京の4施設が対象。ハイアット・リージェンシー箱根リゾートアンドスパでは8月5日から10月14日まで、ハイアット・リージェンシー京都では8月13日から10月14日まで、パーク・ハイアット東京とアンダーズ東京では8月13日から12月8日まで利用分となっている。
ハイアットでは、カード名義人の住所が分かる場合は郵便、メールアドレスのみが分かる場合はメールで利用者に通知しているほか、第三者機関のサイバーセキュリティ専門業者とシステムのセキュリティ強化を実施している。利用者には利用明細書を注意して確認し、不正請求があった場合は金融機関に連絡するよう呼びかけている。また、不正検知を行うプロバイダーのCSIDの「プロテクター」サービスを1年間無料で提供する。