サイバー攻撃の脅威とトップリスクマネジメント
藤谷 護人=弁護士法人エルティ総合法律事務所 所長 弁護士/公認システム監査人
楽天のようなポイントサービス提供企業が被った損害を回復するためには、犯人に対する損害賠償請求が考えられる。ただし、仮に犯人が検挙されたとしても、賠償のための支払い能力には疑問があることが多いようだ。
損害賠償の請求先として次に考えられるのは、ID・パスワードのリストの流出元である。しかし、その特定も難しい。不正アクセスなどによって個人情報が流出したと公表するサイトは多いが、いつどのサイトから流出したID/パスワード情報が自社のサイトで使われたのかを特定するのはほぼ不可能である。
不正に入手したIDとパスワードが利用されたとはいえ、それらの情報はそれ自体としては正しい情報である。その入力を受け付けるウェブサイトとしては、その情報を正規の利用者が入力しているのか、不正に入手した者が入力しているのかを判別することは不可能である。
楽天ができる対抗措置としては、ID・パスワード以外の個人識別情報を採用することが考えられる。ただ、そうした措置を講じるにはインターネットバンキングと同程度の相応の設備が必要となり、販売促進ツールとしての費用対効果に疑問が生じることになる。
ほかに考えられる対抗措置としては、“原始的”ではあるが、他のサイトで使用しているのとは異なるIDとパスワードを使用してほしいと利用者に注意を促すことや、ポイントの利用があった際にはその都度メールなどで利用者に情報を提供することなどがある。
JINSオンラインショップでのカード情報の窃取事件
2013年3月に、ジェイアイエヌが運営するメガネの通販サイト「JINSオンラインショップ」に不正アクセスがあり、顧客2059人のクレジットカード情報が漏えいした。カードの不正利用による損害の申告が20件あり、ジェイアイエヌはカード再発行にかかる手数料を負担した(表3)。
| 3月6日 | バックドアプログラム設置 | |
|---|---|---|
| 3月14日 | 19:58頃 | サイトに異常があることをeコマース責任者が発見 |
| 22:50頃 | 不正アクセスの痕跡発見 | |
| 23:06頃 | サイトの停止 | |
| 情報流出した可能性のある顧客情報の調査開始 | ||
| 「情報漏えい事故対策本部」設置 | ||
| 不明 | Payment Card Forensics株式会社(以下、「PCF社」)に調査依頼 | |
| 3月15日 | 「不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び」掲載 | |
| 3月17日 | 「不正アクセス(JINSオンラインショップ)に関する最新状況のご報告」掲載 2013年2月6日から3月14日までにサイトを利用した1万2036名の情報が流出したとの情報を開示 |
|
| 3月18日 | 「情報漏えい事故調査委員会」設置 | |
| 3月30日 | クレジットカード不正利用の最終申告(これまでに20件) | |
| 4月8日 | PCF社より事故発生原因等に対する最終調査報告書を受領 | |
| 4月9日 | 「不正アクセス(JINSオンラインショップ)に関する調査報告(中間報告)」掲載 情報が流出した顧客は、2013年3月6日から14日までにサイトを利用した2059名と修正 |
|
| 4月22日 | 不正アクセスに対する被害届を原宿警察署へ提出・受理 | |
| 5月1日 | 「不正アクセス(JINSオンラインショップ)に関する調査報告(最終報告)」掲載 | |
| 5月10日 | 専用問合わせ窓口終了 | |
| 6月20日 | 「JINSオンラインショップ再開時期の変更に関するお知らせ」掲載 | |
| 8月5日 | 「JINSオンラインショップ再開のご挨拶」掲載 | |
Copyright © 1995-2024 Nikkei Business Publications, Inc. All rights reserved.
このページに掲載されている記事・写真・図表などの無断転載を禁じます。著作権は日経BP社、またはその情報提供者に帰属します。
掲載している情報は、記事執筆時点のものです。