クレジットカードの危険性

多発するクレジットカード情報の流出／事故

　2007年末から2008年にかけて、日本国内においてクレジットカード情報の流出事件／事故が多発した。

http://www.atmarkit.co.jp/im/cits/serial/cardsec/01/01.html

クレジットカード情報の主な流出／事故（2007～2008年） 2007年9月 丸紅インフォテックの「@SOLAショップ」から約1.3万件流出

2008年4月 サウンドハウスのECサイト（音響機器）から約2.7万件流出

2008年7月 アイリスプラザのECサイト（日用雑貨）から約2.8万件流出

2008年8月 ナチュラムのECサイト（アウトドア）から約8.6万件流出

　上記はすべて、海外のWebサイトを経由したサイバー攻撃により情報が流出した。具体的にはWebサイトのSQLインジェクションの脆弱（ぜいじゃく）性を利用し、外部から不正なコマンドを発行し、クレジットカード情報を含めた個人情報を抜き取る手法によった。

　上記の中で、特にサウンドハウスに関する事故は象徴的であった。事故の教訓を広く知ってもらい、同様の事故の再発を抑止することを目的に、発覚からの対応経緯について同社はつぶさに公表した。

外部リンク

サウンドハウスの発表文書［PDF］

近年のクレジットカード犯罪の傾向

• PR -

　ここで整理しておきたいのは、クレジットカード情報が含まれた個人情報が漏えいする事件／事故の特徴である。

　クレジットカードをECサイトなど非対面で使用する際は、ほとんどが16桁（けた）のカード番号と有効期限により承認処理されている。すなわちクレジットカードは、カードの実物がなくとも、その情報だけで盗むことができるという特徴がある。

　クレジットカード情報が含まれた個人情報がECサイトから流出することは、確実に経済的に大きな損害が発生する。近年ハッカーの傾向や状況が大きく変化していることも事件／事故増加の要因の1つであると考えられる。

最近のカード犯罪における不正利用の1件当たりの被害額の平均は、十数万円程度が多い。そして盗み出したクレジットカード情報でオンラインゲームサイトで買ったアイテムや蓄積した経験値を持ったキャラクターを売却することで換金する犯罪が目立つようになった。これは、そうしたビジネスモデルが確立したことを表している。その売却額は1件当たり数万～数十万円と推測している。

加害者の加盟店と被害者の加盟店

　事故の民事的な因果関係を、クレジットカードの制度の枠組みを基に考えると、まず一義的（第一の）な被害者は、盗まれたクレジットカード情報の保有者であり、加害者は情報を流出させた加盟店（加盟店Aとする）となる。

　クレジットカードが不正利用されたことが明らかな場合は、カード保有者にその請求がされることはなく、チャージバックという形で不正利用された加盟店（加盟店Bとする）には支払いがされず、カード保有者には被害が出ないようになっている。加盟店Bは、ECサイトなどですでに購入された商品を発送している場合、当然事件として警察に被害届を提出するなどして対応する。ここから、実際の損害を被っているのは加盟店Bということになる。

　もう1つ、目に見える被害がある。それは情報が盗まれたクレジットカードはもう使えないということである。カードの保有者には無償でカードの再発行がなされる。そのコストは、カードを発行しているクレジットカード会社（イシュア）が負担する。

　実際の損害については国際カードブランドのメンバーカードである場合は、当該ブランド会社がカード会社（イシュア）に対して保証し、その保証費用についてはブランド会社が加盟店募集したクレジットカード会社（アクワイアラ）に賠償請求するという制度になっている。例えばマスターカードではその請求額はカード1枚当たりの再発行を最大25ドル、不正利用のモニタリング費用が最大5ドルと決められている。一般的な考え方からすると賠償請求されたクレジットカード会社（アクワイアラ）は被害を起こした加盟店Aに求償するということになろう。

　よって仮にマスターカードのメンバーカード情報が10万件流出した場合は、最低でも30ドル×10万件で300万ドル（日本円換算で約3億円）がアクワイアラに請求されることになり、前述のとおり一般的には事故を起こした加盟店に対して求償される。しかしこの金額は賠償額の一部であり、またそのほかフォレンジック調査（被害規模や原因などを検証する調査）、広報、訴訟対応費用およびレピュテーション低下を含めれば加盟店Aの事故に伴う対応総額は「プライスレス」である。

クレジットカード情報保護のデファクトスタンダード

• PR -

　前述のとおりクレジットカード情報の流出をしてしまった加盟店は、事故後の対応で非常に多額の費用と作業を伴う。その一方で事故後もビジネスは継続していかなければならない。カード情報の流出事故を起こした加盟店は、いったんカードの取り扱いが停止になる。

　そのため、事業の継続のためには1日も早くカード取引を再開しなければ売り上げに影響が出てくる。ECサイトなどの加盟店であれば、決済手段としてクレジットカード決済を取り上げられると、その影響は店舗型の加盟店以上に深刻である。

　そこで契約するクレジットカード会社（アクワイアラ）が再開の条件の1つとして事故を起こした加盟店に要求するのが、「PCIデータセキュリティ基準（Payment Card Industry Data Security Standard：PCI DSS）」への完全準拠であり、その評価は第三者機関が実施することとしている。

　このPCI DSSは、5つの国際カードブランドが2006年9月にクレジットカード情報保護の監査基準を統一して発行したものである。5つのカードブランドが設立した米国の組織であるPCIセキュリティ基準審議会（PCI SSC）が全世界標準の基準を発行管理し、各国でのプログラムの推進は各国のカードブランドが推進することになっている。5つのカードブランドの世界のシェアを合計すると90％に到達することから事実上のスタンダードとなっている。すでに米国では、複数の州法において加盟店およびサービスプロバイダと呼ばれている決済代行事業者やデータ処理会社などに対して、PCI DSSへの準拠が義務化されている。

国内における法律およびガイドライン整備

　クレジットカード情報の取り扱いについては、2005年4月に施行された個人情報保護法の第20条の安全管理措置に関するガイドラインが、所管の官庁である経済産業省から発行されており、以下のように記載されている。

　「クレジットカード情報については、別添の『クレジットカード情報を含む個人情報の取扱いについて』に掲げられた措置を講じることが望ましい」

　以下は「クレジットカード情報を含む個人情報の取扱いについて」に挙げられたものである。

クレジットカード情報などについて特に講じることが望ましい安全管理措置の実施

クレジットカード情報などの保護に関する規定を含む契約の締結

クレジットカード情報などを直接取得する場合のクレジットカード情報などの提供先名などの通知または公表

　また、次のように「クレジットカード情報を含む個人情報の取扱いについて」における各項目を実践するために望まれる手法について例示している。

クレジットカード情報などについて特に講じることが望ましい安全管理措置の実施

クレジットカード情報などについて、利用目的の達成に必要最小限の範囲の保存期間を設定し、保存場所を限定し、保存期間経過後適切かつ速やかに破棄

クレジット売上伝票に記載されるクレジットカード番号を一部非表示化

クレジットカード読み取り端末からのクレジットカード情報などの漏えい防止措置を実施（例えば、クレジットカード読み取り端末にはスキミング防止のためのセキュリティ機能――漏えい防止措置など――を搭載するなど）

クレジットカード情報などを移送・送信する際に最良の技術的方法を採用

ほかのクレジットカード販売関係事業者などに対してクレジットカード情報などが含まれる個人情報データベースなどへのアクセスを許容している場合においてアクセス監視などのモニタリングを実施

　米国では、前述したように、複数の州（マサチューセッツ州、ミネソタ州、テキサス州、カルフォルニア州）でPCI DSSの遵守を州法により義務化しているが、国内でも2008年6月に改正割賦販売法が可決された。

　クレジットカードの根拠法となるのは割賦販売法である。同法によりクレジットカード情報を安全に管理する義務は加盟店募集のクレジットカード会社（アクワイアラ）にあるとし、違反した場合は、アクワイアラに対して所管の経済産業省から行政処分を下せるよう法改正された（同法35条の16 クレジットカード番号等の適切な管理等、第35条の17 改善命令）

ほかのセキュリティ基準／規格との対比

　国内では、主に2つの情報セキュリティの認定認証制度が普及している。2008年11月現在、プライバシーマークが約1万法人、ISMS／ISO 27001が約3000組織、認証されている。特にISO 27001はわが国における認証組織数は全世界でダントツの1位であり、世界最高水準の情報セキュリティ国家であるといえる。

　この両基準は情報保護の業務プロセス自体を審査、認証するのに対し、PCI DSSは情報システム自体の実装レベルを審査する点が異なる。またISMSが組織のリスク分析の結果、実装する管理策はその組織が定める水準であるのに対し、PCI DSSの実装レベルは、絶対的な水準が定められている（例えば無線LANの暗号化レベルや検査するべき脆弱性の種類など）ことも違う。

　一方ISMSとは、基準の性格や背景が異なってはいるものの、要求している要素自体は非常に似通っている。ISMS認証制度の認定機関である財団法人日本情報処理開発協会（JIPDEC）からも産業別のISMSユーザガイドとして『クレジット産業向けISMSユーザズガイド』が発行されている。このガイドにはPCI DSSとISMSの133の管理策との対比表により、約80％が重複していることが示されている。要求レベルの具体性に関しては、ISMSは汎用的に全業種に適用することを目的としているが、PCI DSSはクレジット産業向けの技術的な実装基準であると述べている。

外部リンク

クレジット産業向けISMSユーザズガイド［PDF］（日本情報処理開発協会）

現在の日本におけるPCI DSSの普及状況

　情報セキュリティ基準に熱心な日本においてPCI DSSの普及啓発活動は2008年になってから活発化しており、基準の発行管理をする組織であるPCI SSCから承認を受けた認定セキュリティ評価機関（QSA）は、2008年の3月までは国内では1社しかない状況であったが、2008年4月から2009年にかけて筆者が属する会社を含め、新規に4社（うちISMSの認証機関が2社）が承認を受けた。

PCIデータセキュリティ基準完全対策――PCI Data Security Standard

日経BP社

2008年4月

978-4822262235

　また、これまで日本語の文献が不足していることも普及の足かせになっていたが昨年、日本語で初の書籍として『PCIデータセキュリティ基準完全対策』（ネットワンシステムズ、NTTデータセキュリティ、ビザインターナショナルアジアパシフィックリミテッド＝著／山崎文明＝監修）が発売されている。これも参考になるだろう

　次回は、具体的にPCI DSSがどのような業種に必要とされているのか、また同基準が具体的に要求している内容について解説したい。