ECサイトからのクレジットカード情報漏洩事故を防げないか

プロジェクトオーガナイザの吉田聖書よしだみふみです。

本日5月13日に、鳥取県倉吉市に本社を置く酒造メーカー、松井酒造合名会社が公式サイトにお知らせを掲載しまして、同社のECサイトが昨年9月に不正アクセスされクレカ情報が漏洩した可能性があると発表しました。

弊社が運営する「松井酒造合名会社 ECサイト」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ(2024.5.13 松井酒造合名会社)

本件については第三者機関による調査が行われましたが、調査結果によると、昨年2023年3月29日以前に不正アクセスされ、クレカ情報を外部に送信するプログラムと思われるファイルが設置されました。日付がたどれる昨年の3月29日以降、カード決済代行会社からクレカ情報の漏洩疑いの連絡を受けた昨年2023年の9月20日まで、その不正なプログラムによってクレカ情報が外部に転送され、しかもカード決済代行会社が気付いたということは不正利用された可能性が高いということです。

漏洩した可能性のある情報にはクレカ番号、有効期限、セキュリティコードが含まれており、対象のユーザー数は174名と類似の事故に比べると少ないものの、これらの情報を自社のサイト内に保存していたことが重大な問題なのではないかと思います。

お知らせの中では発覚から発表まで半年以上も時間がかかったことを詫びつつも、顧客に対してカード明細に身に覚えのない請求項目がないかの確認を促しています。しかし、半年前の明細なんて捨ててしまっている人もいるでしょうから、それであればもっと早くに通知をすべきではないかと思いました。(もっとも今では紙の明細を受け取っている人の方が少ないかもしれませんが)

確かに、「不確定な情報の公開はいたずらに混乱を招」くかもしれませんが、一般的なセキュリティの注意喚起の体で告知することは可能だったと思います。まあ、顧客の立場で言えば不正利用されたとしてもきちんと補償があればよく、特にカード再発行すると、登録している様々なサービスの情報を変更しなければいけないので、その手間賃も含めて補償してもらえれば文句はないかと思います。ただ手間賃の補償は現実的には難しいでしょうね。

こういうのって利用者の立場からするとやり切れません。もし、利用しようとしているECサイトがカード情報を保存していると知っていたら、リテラシーの高い人であればきっとそのECサイトを利用することはないでしょう。

一般的に、ECサイトには「特定商取引法に関する表記」というフォーマットでの記載があります。これは消費者を守る上である程度効果があると思います。それと同様に、「当社はカード情報をサイト内に保存していません」あるいは「保存しています」というようなステートメントの掲載を法律で義務付けることはできないかなと思ったりします。もちろん虚偽記載は重罰で。


関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

Comments are closed.