カード情報漏えいは「トークン決済」「リンクタイプ」で未然に防ぐ(第5回)
【経済産業省が発表したEC事業者が2018/3までにするべきこと -第5回-】
①情報漏えいは対岸の火事ではない
②情報漏えいが発生したら、費用損害に加えて企業イメージ低下ももたらす
③「カード情報の非保持化(=トークン決済・リンクタイプ)」でカード情報漏えいを防ぐ
----------------------------------------------
◆本コラムについて◆
2016年2月、経済産業省より、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が出ました。
このコラムでは、その内容や対策方法についてお話していきます。
ECサイト・通販を運営している事業者の皆さまは、対応が必要かもしれませんので、是非ご一読いただければと思います。
【第1回】クレジットカードのセキュリティ対策は2018年3月までに!
https://www.ecnomikata.com/column/10973/
【第2回】“トークン決済” なら、ECサイトそのままで「カード情報の非保持化」
https://www.ecnomikata.com/column/11417/
【第3回】“リンクタイプ” で簡単・短期間に「カード情報の非保持化」
https://www.ecnomikata.com/column/11888/
【第4回】「カード情報の非保持化」と一緒にやっておきたい「不正使用対策」
https://www.ecnomikata.com/column/12470/
情報漏えいは対岸の火事ではない
今回は、「カード情報の非保持化」の大切さを、「情報漏えいが発生してしまったら」の視点から、お話します。
ご存知のように、セキュリティ対策が不十分なECサイトを狙った不正アクセスによりカード情報が盗まれ、盗まれたカード情報が、偽造カードや本人なりすましにより、不正に使用されています。
実際、当社で、近年公表されたクレジットカード情報が漏えいした事案を調べたところ、ECサイトが情報の漏えい元となっている場合は多くありました。
ECサイトだけではありませんが、2015年、日本では799件の情報漏えいが発生(カード情報以外の漏えいも含む)し、その際に約500万人分もの情報が漏えいしております。
想定損害賠償総額は2,500億円を超えています(*1)。
情報漏えいと聞くと、「△万人分の情報が漏えい」と新聞で見たり、テレビで謝罪会見が行われているシーンを連想したりと、自分のECサイトには関係のないことと思われるEC事業者の皆さまもいらっしゃるかもしれません。
しかしながら、1人分の情報が漏えいしたら、それは情報漏えいです。
2014年のデータにはなりますが、情報漏えい件数の内訳を見ると、1~10人分が漏えいした小規模なものが40%を占めています(*2)。
カード情報漏えいは、費用損害に加えて企業イメージ低下ももたらす
万が一、自社のECサイトでカード情報漏えいが発生したら、EC事業者の皆さまにどのようなことが起こるでしょうか?
まず、次のような費用が発生します。
・損害賠償費用・見舞金、見舞品費用(情報漏えいした本人に対する謝罪のための、クレジットカードの再発行手数料などの支払いやお詫びの品の送付)
・事故対応費用(情報漏えいを通知する電話・ファックスの通信費や、コールセンター委託費、出張費など)
・調査費用(クレジットカード会社に提出する調査報告書を作成するための調査費用)
・法律相談費用(法律事務所や弁護士に対する相談費用)
費用以外に、お取引先、お客さまや世間から “情報漏えいした企業” と見られ、信頼力・企業価値などが低下することもあります。ECサイトの場合は口コミの影響力も大きいため、風評被害の影響を受ける場合も考えられます。
また、昨今はインターネット上に記事が残るため、半永久的に、事実が世間の目から消えることはありません。情報漏えいを起こした会社という悪いイメージの払拭には、時間を要します。
損害等の費用については、各保険会社が、万が一情報が漏えいしてしまった際に、EC事業者の皆さまが負担すべき様々な費用を補償する保険を提供しています。
EC事業者の皆さまは、このような保険に加入していれば、費用に関しては補うことができます。
しかしながら、イメージについては、どのような影響がいつまで続くかはわからず、またどれくらいの被害となるかもわからないため、EC事業者の皆さまに与えるダメージは大きくなる可能性もあります。
カード情報が漏えいしたら速やかに調査依頼を
自社のECサイトで情報漏えいが発生してしまったときの被害を考えると、改めて、その重大さを痛感します。
実際に情報漏えいが発生した場合、独立行政法人情報処理推進機構より公開されている「情報漏えい発生時の対応ポイント集」を参考に対応方法を見ると、6つのステップが示されています。
----------------------------
(1)発見・報告
(2)初動対応
(3)調査
(4)通知・報告・公表等
(5)抑制措置と復旧
(6)事後対応
----------------------------
これらに加えて、自社のECサイトからカード情報が漏えいした場合に、EC事業者の皆さまにとって必要となる作業をご説明したいと思います。
1.ECサイトの決済手段を停止すること
カード情報が漏えいした場合でも、その原因はクレジットカード以外のインターネットを経由したあらゆる決済手段にリスクが考えられるため、ECサイトに導入している全ての決済手段を停止することが必要です。
2.フォレンジック調査会社(*3)への調査依頼
カード情報の漏えいを発見したら、情報漏えい事件・事故が発生した原因や結果を調査するため、証拠を収集するための調査(=フォレンジック調査)を依頼しましょう。
なお、フォレンジック調査はPFI(PCI Forensic Investigator)という資格認定を受けた調査会社によるものである必要があります。
情報漏えいの被害を最小に抑えるべく、速やかな調査依頼が大事です。
3.自社のホームページへの情報の掲載
クレジットカード会社と連携した上でとなりますが、適切なタイミングでの掲載が必要です。
4.情報漏えい原因への対策
情報漏えいの原因に応じて、セキュリティコンサルタント等に相談の上、システム面と体制面で対策を講じる必要があります。一般的にクレジットカード決済の再開には、クレジットカード会社からPCI DSSへの準拠を求められるため、PCI DSS要件に沿った対策が必要となります。
5.損害賠償の調整
顧問弁護士等と協議の上、方針を決定し、対応が必要となります。
6.クレジットカード決済再開に向けた対応
ECサイトでカード情報漏えいが発生した場合、その後ECサイトを再開するには、前述したとおりクレジットカード会社からPCI DSSの準拠を求められることが一般的であり、すぐにクレジットカード決済が再開できるわけではありません。是正措置を講じる前の段階であっても、対策方針についてクレジットカード会社と連携を行うことが重要です。
「カード情報の非保持化(=トークン決済・リンクタイプ)」でカード情報漏えいを防ぐ
では、自社ECサイトで、カード情報漏えいを起こさないようするためにどうすればよいのでしょうか?
それは、経済産業省の「実行計画」(*4)でも推奨され、本コラムでもお話させていただいている、カード情報非保持化の決済システムを利用することです。
カード番号をトークン(乱英数字の文字列)に置き換えて決済するシステム「トークン決済」、もしくは決済代行事業者のサーバー上で決済処理を行う「リンクタイプ」で、カード情報の非保持化を実現し、ECサイトが攻撃されても、クレジットカード情報が漏れないようにしていきましょう。
最後に本日のまとめです。
----------------------------------------------
●カード情報の漏えいはECサイトからも多く発生している
●一件であってもカード情報が漏えいしたら、損害賠償を含む対応費用以外に、企業イメージ低下を生じる可能性がある
●カード情報漏えいをしないためにも、「トークン決済」や「リンクタイプ」の決済システムでカード情報の非保持化を行うことが大事
----------------------------------------------
GMOペイメントゲートウェイでは、「カード情報の非保持化」として「トークン決済」「リンクタイプ」の決済サービスを提供しています。
URL: https://www.gmo-pg.com/service/mulpay/security/
また、万が一カード情報が漏えいしてしまった時の保険として「情報漏えいプロテクター」を提供しております。
URL: https://www.gmo-pg.com/service/mulpay/security/j-protect/
(*1)出典:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「2015年 情報セキュリティインシデントに関する調査報告書【速報版】」
(*2)出典:特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)「2014年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」
(*3) PFI(PCI Forensic Investigator)資格保有のフォレンジック調査会社
・Payment Card Forensics株式会社
・ベライゾンジャパン合同会社
・トラストウェーブ
・NRIセキュアテクノロジーズ株式会社
(*4)実行計画:経済産業省などからなる「クレジット取引セキュリティ対策協議会」より発表された、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を指す。このなかで、EC事業者は2018年3月までに、「カード情報の非保持化」もしくは「PCI DSS準拠」の対応をしなければいけないという指針が発表されている