迷惑メールが来なければ、多少の情報漏えいはあんまり関係ないかも・・
有名人でもないのに、世間は過剰反応の傾向もみられます。
個人情報漏えい事件を斬る(111)カード会社の調査依頼で情報漏えいが発覚した丸紅インフォテック
前回はクレジット業界の観点から個人情報保護対策について取り上げた。今回は,クレジットカード業界と流通業界の連携の観点から考えてみたい。
気になるプライバシーマーク取得企業の情報管理PDCAサイクル
丸紅インフォテックは,同社が運営するインターネットショッピングサイト「@SOLAショップ」の顧客データに外部からの不正アクセスがあり,個人情報の一部漏洩の恐れが高いことが判明したと発表した(「インターネットショッピングサイト「@SOLAショップ」での個人情報漏洩に関して」参照)。2007年7月31日にクレジットカード会社よりカード利用に関する調査・対応依頼があり,サイト運用を業務委託していたトランスコスモスに調査を指示したところ,何者かによる海外からの不正侵入を受けていたことが発覚した。
調査結果によると,2005年6月13日から2007年7月28日にかけて22回に及ぶ個人情報漏えいの痕跡が発見されたという。顧客データには,会員ID,パスワード,クレジットカード番号,カードの有効期限,名前,電話番号,メールアドレス,住所が含まれており,その後の調査で,クレジットカード情報が漏えいした対象者が1万3252人であることが判明した(「経過報告」参照)。
外部からの不正アクセスにより,ECサイトからクレジットカード情報を含む個人情報が流出した事件としては,第20回,第29回で取り上げたワコールのケースがある。ワコールが流出を発表したのは2005年11月19日だから,それよりも前の時期から,丸紅インフォテックのECサイトは不正侵入を受けていたことになる。
このように類似の不正アクセス事件が起きていた中,丸紅インフォテックやトランスコスモスが,どのように個人情報管理のPDCAサイクルを回していたのか気になるところだ。ちなみに,両社ともプライバシーマークの取得企業である。
定期的なネットワーク監視とテストが不正アクセスの防波堤
丸紅インフォテックとワコールに共通するのは,サイトの運用業務を外部委託していた点と,社外からクレジットカード使用についての問い合わせが寄せられるまで,サイトのオーナー会社も外部委託先も不正アクセスを認識していなかった点だ。
クレジットカード業界では,加盟店や決済代行事業者が取り扱うクレジットカード情報や取引情報を安全に守るために,JCB,American Express,Discover,MasterCard,VISAの5社が共同で,「PCIDSS(Payment Card Industry Data Security Standard)」というグローバルセキュリティ基準を策定している。PCIDSSでは,カード情報,取引情報を保護するために,以下の12要件を規定している。