約4000万人分のクレジット・カード情報流出を引き起こした米CardSystems Solutionsと同社事業を引き継いだSolidus Networksは,米連邦取引委員会(FTC)との和解に応じる。FTCが米国時間2月23日に明らかにしたもの。FTCは,CardSystemsが不公正な慣行を取り締まる法規に違反し,適切なセキュリティ対策を怠ったとして提訴していた。
CardSystemsとSolidus NetworksはFTCの和解要件に従い,包括的な情報セキュリティ・プログラムを導入し,今後20年にわたり,隔年で,両社と無関係のセキュリティ専門家による監査を受ける。
CardSystemsは,金融機関などからカード決済事業を請け負っていたが,2005年5月22日に,データが不正アクセスを受けた可能性を認識。5月23日に米邦捜査局 (FBI) へ報告し,次いで,顧客である米VISAと米MasterCard Internationalなどにも伝えた。MasterCardがこれを6月17日に公表し,警告を発したことで,事件が明るみに出た。なお,流出した情報は,本来CardSystemsが保管してはならない個人情報だった。
FTCによると,CardSystemsが昨年,11万9000店以上の中小販売店に対して処理したカード支払い件数は約2億1000万件で,総額150億ドル以上に上る。CardSystemsはカード決済手続きで読み取られるクレジット・カード番号や有効期限などのデータを収集し,同社コンピュータに保存していた。
「CardSystemsは保持する理由のない情報を保存し,顧客の金融情報を危険にさらすやり方で格納した」(FTC委員長のDeborah Platt Majoras氏)。
2005年12月にSolidus NetworksがCardSystemsの資産を買収し,「Pay By Touch」の名称で事業を継承している。
◎関連記事
■カード情報流出の米CardSystems,「8月末までにセキュリティ規定準拠の完了を目指す」
■米MasterCard,4000万人分以上のカード情報流出を報告
■米LexisNexisで個人情報の流出,3万2000人分の社会保障番号などが漏えい
■信用調査会社米ChoicePointの個人情報流出,対象は約14万5000人に拡大
■米スタンフォード大学,就職情報システムから個人情報流出のおそれ
■PC盗難で患者18万人以上の個人情報が漏えい,加州の医療機関
■「米国では5人に1人が個人情報窃盗の被害に」,米調査
■「ネット・ユーザーの3割が個人情報盗難を懸念してネットの利用を縮小」,米調査
[発表資料へ]
