自社のECサイトがサイバー攻撃に遭って顧客のカード情報が流出するケースにおいては、一般的な個人情報漏えい事案よりも損害は大きく、対応は複雑になる。IT部門と法務部門は具体的にどのような対処をすべきか、弁護士が解説した。
本記事は2021年8月3日のBUSINESS LAWYERS掲載記事をキーマンズネット編集部が一部編集の上、転載したものです。
Q: サイバー攻撃により、当社が運営するECサイトからクレジットカード情報が流出した場合、法律上どのような点に留意すべきですか。
A: クレジットカード情報の漏えい事案の場合、漏えいしたクレジットカード情報の不正使用を伴うため、一般的な個人情報漏えい事案と比べて損害額が大きくなります。また、サイバー攻撃を受けた企業および個人情報が漏えいした個人に加えて、クレジットカード会社、ECサイトの開発・保守を担うベンダー企業も関わるため、一般的な個人情報漏えい事案と比べて当事者関係が複雑となります。
ECサイトの普及により、クレジットカードに係る情報(以下「クレジットカード情報」といいます)の漏えい事案が増えています。
ここでのクレジットカード情報の漏えい事案とは、ECサイトで商品を購入するうえで、決済画面でクレジットカード情報を入力して決済を行う場合に、その入力したクレジットカード情報が盗み出され、不正に使用されるという事案をいいます。
不正利用分について、クレジットカード会社がクレジットカードの保有者に補償した場合、当該補償額について、クレジットカード情報の漏えいが生じたECサイトの運営企業がクレジットカード会社から求償請求を受けることになります。
2018年に施行された改正割賦販売法35条の16は、クレジットカードを取り扱う加盟店(本稿においてはECサイト運営企業が加盟店の位置付けになります)に対して、経済産業省令で定める基準に従い、クレジットカード情報の適切な管理のために必要な措置を講じなければならないという義務を課しました。
上記の「必要な措置」の具体的内容については、クレジット取引セキュリティ協議会で策定された「クレジットカード・セキュリティガイドライン※1」を指針とすることとされており、ガイドラインで掲げられている「必要な措置」は、以下のとおりです。
PCI DSSという世界基準への準拠は、時間やコスト等から考えて現実的ではないため、加盟店においては、クレジットカード情報を保持しないという対応が求められます。
その結果、多くのECサイトでは、クレジットカードの決済システムを組み込むにあたってクレジットカード情報が自動的に非保持になるように設定されています。この非保持の仕様についてはいくつかありますが、共通するのは、クレジットカード保有者が決済画面において入力した情報がECサイト運営企業のサーバに保持されないという点です。
上記のように、非保持化が行われていれば、ECサイトがサイバー攻撃を受けてもクレジットカード情報を保持していないため、クレジットカード情報は窃取されないということになります。
しかしながら、昨今のサイバー攻撃では、ECサイトの管理画面に不正アクセスのうえ非保持化の機能をそもそも改ざんするなどして、ECサイトの利用者が決済画面に入力したクレジットカード情報を窃取しており、非保持化のルールの下でも、ECサイトからのクレジットカード情報の漏えい事案は後を絶たないのが実情です。
発覚の経緯としては2つあります。1つはECサイトの運営企業が不正アクセスを覚知する場合、もう1つはクレジットカード会社がクレジットカードの不正利用をモニタリングシステムで検知し、CPP(Common Purchase Point)という考えに基づいて漏えい原因である可能性の高いECサイトの運営企業に連絡する場合です。
なお、CPPとは、以下の図のとおり不正利用分のデータを分析し、それぞれ過去の真正利用先を調査・特定して、そこから発見された共通の利用元がカード情報流出元の可能性が高いとする考え方です。
いずれの発覚の経緯であっても、原因および被害範囲を調査するために、初動対応としてデジタルフォレンジック調査を実施することになります。
通常の個人情報漏えい事案においてもデジタルフォレンジック調査を行うことが一般的になりつつありますが、クレジットカード情報漏えい事案の特殊性として、デジタルフォレンジック調査を行う調査機関はPCI SSC(Payment Card Industry Security Standards Council、国際カードブランドによって設立されたクレジットカードのセキュリティ基準の管理・運用を担う独立機関)が認定するフォレンジック機関(PCI Forensic Investigator、PFI)に限られるという点があります。
以上のPFIによるデジタルフォレンジック調査の結果、問題となっているクレジットカードの不正使用が特定のECサイトからの漏えいによることが明らかになった場合には、当該ECサイトの運営企業は、すでにクレジットカード会社が補償した不正利用分について求償請求を受けることになります。
この求償請求には、(1)カード不正利用被害合計額に加え、(2)カード再発行費用、(3)その他の実費(特設デスク費用、通信費用、印刷費用、人件費等)が含まれることが一般的です。
なお、実務上の留意点として、ECサイトの運営企業がCPPに基づいてクレジットカード会社から連絡を受けた場合、そのECサイトの運営企業が漏えい元であることがほとんどですが、デジタルフォレンジック調査の結果、まれにそのECサイトの運営企業が漏えい元とは認定されないことがあります。
したがって、デジタルフォレンジック調査により被害原因を明らかにして証拠を保全しておくことは、求償請求を免れるうえでも重要になります。
クレジットカードの番号は、現状では「様々な契約形態や運用実態があり、およそいかなる場合においても特定の個人を識別することができるとは限らないこと等から、個人識別符号に位置付けておりません。なお、このような番号も、氏名等の他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる場合には、個人情報に該当します。」と整理されています※2。
ただし、クレジットカード情報が漏えいする場合は、カード名義人情報として氏名もあわせて漏えいしていることがほとんどであり、ECサイトのサーバが不正アクセスを受けていた場合には、あわせて会員データベースに登録された個人情報も漏えいしている可能性がありますので、個人情報保護法に沿った対応を検討する必要があります。
その際、特に重要なのは、個人情報保護委員会への報告と個人への通知です。
2022年4月1日から施行予定の改正個人情報保護法の下では、一定の漏えい事案においては個人情報保護委員会への報告と個人への通知が法律上の義務となります(改正個人情報保護法22条の2)。
また、この報告および通知の時期については、速報と確報が必要となり、速報については「速やかに」(改正個人情報保護法施行規則6条の3第1項)、確報については原則として「30日以内」(同条第2項)に行うこととされています。
サイバー攻撃を受けた実態が定かでないなかで義務付けられる速報、およびデジタルフォレンジック調査だけでも数週間はかかることが少なくない中での確報について、実務上の影響は大きいことが予想されます。
そこで、インデント原因・被害範囲の調査に役立つログデータの取得・保存やインシデント発生に備えたIncident Response Policyの策定が重要になってきます。
ECサイトの運営にあたって、外部ベンダーにECサイトの開発・保守を委託しているケースがありますが、その場合には、ECサイト運営企業がいったん負担した賠償額および調査費用について、当該外部ベンダーに求償請求できる余地があります。
その場合、契約書をベースにセキュリティについての当事者の役割分担および賠償額の制限条項を踏まえつつ、当該インシデントとの関係での両者の過失割合を考慮することになります。
※1:クレジット取引セキュリティ対策協議会(事務局 一般社団法人日本クレジット協会)「クレジットカード・セキュリティガイドライン 【2.0 版】」(2021年3月10日)
※2:個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」(平成29年2月16日、令和3年6月30日最終更新)
本記事は2021年8月3日掲載のBUSINESS LAWYERS「ECサイトへのサイバー攻撃でクレジットカード情報が流出した場合の法務・情シスの実務対応」をキーマンズネット編集部が一部編集の上、転載したものです。
© BUSINESS LAWYERS
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。