前回は,フィッシング詐欺について取り上げた。2008年8月21日,警察庁が,2008年上半期のサイバー犯罪(情報技術を利用する犯罪)の検挙状況を発表しているが,上半期の検挙件数は前年同期比21.2%増の2192件となっている(「平成20年上半期のサイバー犯罪の検挙状況等について」参照)。

 今回は,不正アクセスに起因するEC(電子商取引)サイトの個人情報漏えい事件を取り上げでみたい。

不正アクセスを受けて対策を発表したオズ・インターナショナル

 5月20日,オズ・インターナショナルは,同社が運営するショッピングサイト「アイドラッグストアー」「アイビューティーストアー」で,2008年1月と3月に中国からの不正アクセスを受け,EC利用顧客のクレジットカード番号と有効期限の組みあわせが一部流出した可能性が高いことが判明したと発表した(「不正アクセスに関するお詫びとお知らせ」参照)。漏えいした情報は,名前,住所,ログインパスワード,メールアドレス,電話番号,カード番号,有効期限である。新聞報道によると,2008年4月中旬,クレジットカード会社からの指摘で,オンラインゲームでカードが不正利用されていたことが発覚しており,情報漏えい流出件数は最大2万件に上るおそれがあるという。

 不正アクセスによる情報漏えい事件を受けて,同社は,7月23日に新たなセキュリティ対策を発表した(「オズ・インターナショナルの新セキュリティ対策」参照)。

 新たなセキュリティ対策で注目すべきは,第111回第144回で取り上げたカード業界のグローバルセキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」に準拠した再発防止対策を講じている点だ。例えば,技術的対策として,PCI-DSSに準拠した不正侵入防止システム(IPS)の導入,ファイヤウォールの設定/見直しなどを行ったほか,カード決済システムをPCI DSSの認定カード決済会社に外部委託し,オズ・インターナショナルの運営サイト側でカード情報を保持しない仕組みに移行している。

中堅・中小企業が求める敷居の低いPCI DSS準拠支援

 2008年8月6日,大証ヘラクレス上場のミネルヴァ・ホールディングスは,連結子会社であるナチュラム・イーコマースが運営するECサイト「アウトドア&フィッシングナチュラム」に外部から不正にアクセスされた痕跡のあることが確認され,顧客の個人情報が海外からの不正アクセスにより流出した可能性があることを発表した(「当社連結子会社における不正アクセス発生に関するご報告とお詫び」参照)。

 オズ・インターナショナルのケースと同様に,ナチュラム・イーコマースでも,クレジットカード会社からの連絡がきっかけで個人情報およびカード情報の漏えいが発覚している。流出の可能性のある顧客データは65万3424件で,そのうちクレジットカード番号(下4桁は保持していない)が含まれるものが8万6169件あるという。今回の事件発覚を受けてミネルヴァ・ホールディングスは,セキュリティ対策として,既に認証を受けている「TRUSTe」に加え,PCI DSSの準拠に向けて取組むことを明言した(「「アウトドア&フィッシング ナチュラム」への不正アクセス発生についてのご報告とお詫び」参照)。

 オズ・インターナショナルも,ミネルヴァ・ホールディングスも,消費者向け電子商取引(B2C-EC)市場で成長してきた,典型的な中堅中小企業(SMB)である。PCI DSSといえばクレジットカード会社が思い浮かぶが,それに準拠した情報漏えい対策への取り組みがECのサプライチェーンを通じてSMBにも広がってきた点が注目される。今後は,カード番号等の不正提供・不正取得をした者などを刑事罰の対象とした改正割賦販売法の施行が控えている。それだけに,ASP・SaaS型サービス,ビジネスプロセスアウトソーシング(BPO)など,セキュリティ専門知識のないSMBでも容易に導入できる,敷居の低いPCI DSS準拠支援ソリューションが求められる。

 加えてミネルヴァ・ホールディングスは,新興市場上場企業であり,ECサイト運営を担う連結子会社ナチュラム・イーコマースの顧客/クレジットカード情報管理体制は,2008年4月より適用年度が始まった金融商品取引法の内部統制(J-SOX)の根幹に関わる部分となる。

 次回は,いわゆる「アフターJ-SOX」の観点から,B2C-EC事業や関連サービスを提供する上場企業のPCI DSS準拠施策と個人情報管理について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/