前回はクレジット業界の観点から個人情報保護対策について取り上げた。今回は,クレジットカード業界と流通業界の連携の観点から考えてみたい。

気になるプライバシーマーク取得企業の情報管理PDCAサイクル

 丸紅インフォテックは,同社が運営するインターネットショッピングサイト「@SOLAショップ」の顧客データに外部からの不正アクセスがあり,個人情報の一部漏洩の恐れが高いことが判明したと発表した(「インターネットショッピングサイト「@SOLAショップ」での個人情報漏洩に関して」参照)。2007年7月31日にクレジットカード会社よりカード利用に関する調査・対応依頼があり,サイト運用を業務委託していたトランスコスモスに調査を指示したところ,何者かによる海外からの不正侵入を受けていたことが発覚した。

 調査結果によると,2005年6月13日から2007年7月28日にかけて22回に及ぶ個人情報漏えいの痕跡が発見されたという。顧客データには,会員ID,パスワード,クレジットカード番号,カードの有効期限,名前,電話番号,メールアドレス,住所が含まれており,その後の調査で,クレジットカード情報が漏えいした対象者が1万3252人であることが判明した(「経過報告」参照)。

 外部からの不正アクセスにより,ECサイトからクレジットカード情報を含む個人情報が流出した事件としては,第20回第29回で取り上げたワコールのケースがある。ワコールが流出を発表したのは2005年11月19日だから,それよりも前の時期から,丸紅インフォテックのECサイトは不正侵入を受けていたことになる。

 このように類似の不正アクセス事件が起きていた中,丸紅インフォテックやトランスコスモスが,どのように個人情報管理のPDCAサイクルを回していたのか気になるところだ。ちなみに,両社ともプライバシーマークの取得企業である。

定期的なネットワーク監視とテストが不正アクセスの防波堤

 丸紅インフォテックとワコールに共通するのは,サイトの運用業務を外部委託していた点と,社外からクレジットカード使用についての問い合わせが寄せられるまで,サイトのオーナー会社も外部委託先も不正アクセスを認識していなかった点だ。

 クレジットカード業界では,加盟店や決済代行事業者が取り扱うクレジットカード情報や取引情報を安全に守るために,JCB,American Express,Discover,MasterCard,VISAの5社が共同で,「PCIDSS(Payment Card Industry Data Security Standard)」というグローバルセキュリティ基準を策定している。PCIDSSでは,カード情報,取引情報を保護するために,以下の12要件を規定している。

【安全なネットワークの構築・維持】
要件1: データを保護するためにファイアウォールの導入をし,最適な設定を維持すること
要件2: システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
【カード会員情報の保護】
要件3: 保存されたデータを安全に保護すること
要件4: 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合,暗号化すること
【脆弱点を管理するプログラムの維持】
要件5: アンチウイルスソフトを利用し,定期的にソフトを更新すること
要件6: 安全性の高いシステムとアプリケーションを開発し,保守すること
【強固なアクセス制御手法の導入】
要件7: 業務目的別にデータアクセスを制限すること
要件8: コンピュータにアクセスする際,利用者毎に識別IDを割り当てること
要件9: カード会員情報にアクセスする際,物理的なアクセスを制限すること
【定期的なネットワークの監視およびテスト】
要件10: ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し,監視すること
要件11: セキュリティシステムおよび有事の対応手順を定期的にテストすること
【情報セキュリティポリシーの保有】
要件12: 情報セキュリティに関するポリシーを保持すること

 各クレジットカード会社は,加盟店や決済代行事業者向けにPCIDSSに準拠した情報セキュリティプログラムを提供し,自己診断や脆弱性テストを推奨している。だが,不正アクセスによる個人情報漏えい防止のために重要なのは,「定期的なネットワークの監視およびテスト」である。例えばワコールのケースでは,「SQLインジェクション」という手口で情報が盗み出されたことが判明している。これを対岸の火事と思わないで,自社システムの脆弱性テストを行う際に重点項目として確認していたら防げたような事例も多い。

 現時点で丸紅インフォテックから具体的原因に関する発表はないが,委託先のトランスコスモスの対応を含めて注視する必要がある。

 次回も,不正アクセスに起因する個人情報漏えいについて取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/