「ECサイトからのクレジットカード情報漏えい事案における法的留意点(下)」の版間の差分
>パパ活也 (3ページ目まで) |
>パパ活也 編集の要約なし |
||
75行目: | 75行目: | ||
公表文は、当該ECサイトの利用者(以下、単に「ユーザー」という)にとって必要な情報が得られる内容であることが求められる。基本的にはクレジットカード会社から提供されるひな形をもとに作成することになるが、具体的事情に基づいて適宜公表文の内容を調整することが考えられる。 | 公表文は、当該ECサイトの利用者(以下、単に「ユーザー」という)にとって必要な情報が得られる内容であることが求められる。基本的にはクレジットカード会社から提供されるひな形をもとに作成することになるが、具体的事情に基づいて適宜公表文の内容を調整することが考えられる。 | ||
たとえば、ECサイト以外の実店舗でも商品を販売している場合は、実店舗においてクレカを用いて商品を購入した顧客からの問合せも予想されるため、公表文において実店舗での購入者が漏えいの対象者であるか否かの説明も記載することが望ましいといえる。また、事案の概要をより正確に説明するため、公表文とともにFAQを掲載する方法も考えられる。 | |||
ECサイト運営企業がSNSのアカウントを用いて宣伝を行っている場合は、当該SNSアカウントでの発表も検討対象となる。SNSアカウントにおいて自社商品の宣伝を行いながらも、当該アカウントで漏えい事案公表に関する発信を行わないといった対応は、ユーザーからの批判を招くリスクを伴う。 | |||
===== (2) 本人への通知 ===== | |||
上記3で説明したとおり、一定の漏えい事案においては本人への通知が個人情報保護法上の義務となる。 | |||
通知の時間的制限については、個人情報保護法施行規則10条には「当該事態の状況に応じて速やかに」と規定されている。 「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断するものとされている<ref group="注"><!--4-->前掲注3参照</ref>。 | |||
同条には本人への通知に含ませる必要がある内容として、以下①~⑤の項目が規定されている。 | |||
① 概要<br> | |||
② 漏えい等が発生し、または発生したおそれがある個人データの項目<br> | |||
③ 原因<br> | |||
④ 二次被害またはそのおそれの有無およびその内容<br> | |||
⑤ その他参考となる事項 | |||
そのため、法の順守のためにはこれらの内容を整理し、本人へ通知する必要がある。もっとも、これらの事項がすべて判明するまで本人への通知をする必要がないというものではなく、本人への通知は「当該事態の状況に応じて速やかに」行う必要があるとされている点に留意しなければならない。そのため、場合によっては早い段階で上記①~⑤のうち判明している項目について通知を行い、その後に判明した項目については続報として再度本人へ通知するといった対応も考えられる。 | |||
また、ガイドライン<ref group="注"><!--5-->前掲注3参照</ref>においては、本人への通知を要する場合であっても、本人への通知が困難である場合は、事業の公表などの本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められている。そして、本人への通知が困難な場合に該当する事例として、保有する個人データの中に本人の連絡先が含まれていない場合、連絡先が古いため通知を行う時点で本人へ連絡できない場合があげられている。 | |||
ECサイトでの漏えいの場合は、本人への通知はECサイトのアカウント作成時に登録されたメールアドレス宛に電子メールを配信する方法で行う場合が多いが、電子メールが届かない場合であっても、上記の例外に該当する場合を除いては原則として通知義務があることから、書面の郵送や電話による本人への伝達といった手段を検討する必要があると考えられる。 | |||
===== (3) 公表・通知後の問合せ対応 ===== | |||
漏えい対象となった人数にもよるが、公表直後はユーザーからの問合せが殺到するため、筆者らの実務経験上 公表直後は土日祝一日も問合せ窓口の受付を実施することが望ましい。 | |||
また、漏えいを受けて、個人情報保護法33条1項または35条5項を根拠にECサイト運営企業が保有する個人データの開示または利用停止等を求めるユーザーも想定される。これらのユーザーに対しては個人情報保護法に基づき適切な対応を実施する必要がある。 | |||
=== Ⅴ 今後予想されるECサイト運営企業において必要となる対応 === | |||
Ⅲ1(本誌1月号116頁参照)で説明した「クレジットカード・セキュリティガイドライン」は2022年度末に改定が予定されている。その改定にあたり、経済産業省はECサイトでのクレカの不正利用防止に向け、購入者がカード所有者本人であることを複数手段で認証する「EMV-3Dセキュア」と呼ばれるシステム規格の導入義務化を検討すると報じられた<ref group="注"><!--6-->「クレジット決済の本人確認 複数認証義務に 経産省検討」日本経済新聞2022年9月5日</ref>。EMV-3Dセキュアは、ECサイトでの購入の際、カード所有者本人であることの確認としてパスワードの入力など複数の認証を行いセキュリティ効果を高めるものである。 | |||
従来の3Dセキュア(3Dセキュア1.0)は、すべての取引においてユーザーが設定したパスワードによる認証が必要なため、パスワードを忘れたユーザーや入力が面倒になったユーザーが手続の途中で離脱してしまう「カゴ落ち」のリスクが高く、それを懸念する加盟店が採用をためらうという問題があった。他 | |||
方、次世代規格のEMV-3Dセキュア(3Dセキュア2.0)は、さまざまなデータをもとにシステムが「不正利用のリスクが高い」と判定した場合のみ追加の認証を求める仕様になっており、加盟店にとって比較的導入しやすい方式といえる。 | |||
Ⅲ1で述べたとおり、同ガイドラインは割賦販売法35条の16に基づき加盟店に課される義務を具体化するものであるため、改定に伴いECサイト運営企業はEMV-3Dセキュア対応を迫られることが予想される。 | |||
=== 注 === | === 注 === |
2023年1月2日 (月) 15:56時点における版
ECサイトからのクレジットカード情報漏えい事案における法的留意点(下)(いーしー-じょうほうろう-じあん-ほうてきりゅういてん(げ))とは、八雲法律事務所に所属する山岡裕明と町田力、柏原陽平が雑誌「ビジネス法務2023年2月号」に寄稿したコラムである。
本文
実務解説
ECサイトからのクレジットカード情報漏えい事案における法的留意点(上)
八雲法律法律事務所 弁護士(2010年登録)。情報処理安全確保支援士。University of California. Berkeley, School of Information修了(Master of information and Cybersecurity(修士))。
内閣サイバーセキュリティセンタータスクフォース構成員(19年~20年、21年~22年)。サイバーセキュリティ協議会運営委員会「サイバー攻撃被害に係る情報の共有ガイダンス検討会」検討委員(22年~)。
山岡裕明
Yamaoka Hiroaki
八雲法律事務所 弁護士(2012年登録)。情報処理安全確保支援士。総合商社を経て現職。企業のサイバーインシデント対応、個人情報保護法対応、システム紛争を専門に扱う。
町田力
Machida Tuyoshi
八雲法律事務所 弁護士(2017年登録) 。情報処理安全確保支援士 総合商社を経て現職。企業のサイバーインシデント対応、個人情報保護法対応、システム紛争を専門に扱う。
柏原陽平
Kashihara Yohei
近年EC市場の拡大を受けて増加しているECサイトからのクレジットカード情報漏えい事案について、インシデント発生時における法的留意点を解説する。 迅速な対応が要求されるインシデントレスポンスの際に必要となるフォレンジック調査、関係者対応、改正個人情報保護法に基づく対応、公表等の各対応段階における基本的な流れや実務上のポイントを筆者らの実務経験に基づき紹介する。
Ⅳ クレカ情報漏えい時の対応
1 初動対応としてのフォレンジック調査
いずれの発覚の経緯であってもクレカ情報漏えいの原因および被害範囲を調査するために、初動対応としてフォレンジック調査を実施することになる。
サイバーインシデント事案においてフォレンジック調査を行うことが一般的になりつつあるが、クレカ情報漏えい事案の特殊性としてフォレンジック調査を行う調査機関は原則として[注 1]PCI SSC(Payment Card Industry Security Standards Council:国際カードブランドによって設立されたクレカのセキュリティ基準の管理・運用を担う独立機関)が認定するフォレンジック機関(PCI Forensic Investigator:PFI)に限られるという点がある。
このように調査を依頼できる調査機関が限られていることに加え、近年クレカ情報漏えい事案が多発していることもあり、調査着手までに時間を要するケースも存在する。そのため、漏えいが発覚した際には速やかにPFIに連絡のうえ契約を締結するなど迅速な対応をとることが重要となる。
なお、調査対象のシステムにもよるが、フオレンジック調査自体は、2~4週間の期間で完了する場合が多い。そして、調査完了後、フォレンジック機関から調査結果をまとめたフォレンジックレポートが提出されることになる。ECサイト運営企業としては、当フォレンジックレポートに記載された内容をもとに以降の対応を進めることになる。
2 関係者対応
以上のPFIによるフォレンジック調査を実施することとなった場合には, 調査と並行して関係者対応を検討する必要がある。
具体的には、後述する個人情報保護委員会への報告のほか、警察への被害報告、取引先に対する説明などがある。場合によってはクレジットカード会社を所管する経済産業省からのヒアリングが行われる可能性もある。
また、公表後には多数の顧客からの問合せが発生することが予想されるため、外部のコールセンターを活用することも有用である。その場合、希望するスケジュールの確保のため、コールセンター運営会社へは早めに依頼の打診を行うことが重要となる。
さらに、上場企業においては適時開示(有価証券上場規程402条)を行うか否かの検討が必要となる。この適時開示は、サイバー事業において頻出する悩ましい論点である。悩ましい理由の1つは、インシデント発生直後においてはサイバー被害の全体像が把握しづらいという点である。
特に問題となることが多いのは発生事実のバスケット条項(同条2号X)の該当性である。同号Xは、「(aから前wまでに掲げる事実のほか、)当該上場会社の運営、業務若しくは財産又は当該上場株券等に関する重要な事実であって投資者の投資判断に著しい影響を及ぼす」事実が発生した場合に適時開示を義務づけるものであるところ、「投資者の投資判断に著しい影響を及ぼす」の該当性については、個別具体的に判断することとされているため[注 2]、実務上、サイバー被害が発生した場合の適時開示の要否については、情報漏えいによる責任の範囲、予想される賠償額、開示時期、開示資料の内容、業績への影響について証券取引所の担当者と密に連携をとりながら決定していくことが重要である。
3 個人情報保護法に基づく対応
(1)個人情報保護委員会への報告と本人への通知
個人情報保護法に基づく対応の中で特に重要なのは、個人情報保護委員会への報告と本人への通知である。
2022年4月1日より施行されている改正個人情報保護法のもとでは、一定の漏えい事業においては個人情報保護委員会への報告と本人への通知が法律上の義務となった(改正人情報保護法26条、同法施行規則7条)。そして、同法施行規則7条2号には報告および通知を要する一定の漏えい事案として「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」が規定されており、同法のガイドライン[注 3]ではその具体的な事例の1つとして、「ECサイトからクレジットカード番号を含む個人データが漏えいした場合」があげられている。
また、サイバー攻撃によりクレカ番号を含む個人データが漏えいしたという点で個人情報保護法施行規則7条3号の「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」にも該当し、漏えい対象者が1,000人を超える場合には同条4号の「個人データに 係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態」にも該当する可能性がある。
個人情報保護委員会への報告については、速報と確報が必要となり、速報については「速やかに」(改正個人情報保護法施行規則8条1項)。確報については原則として「30日以内」(ただし、不正の目的をもって行われたおそれがある漏えい事件は60日以内。同条2項)に報告しなければならない(【図表3】 参照)。当該報告を怠った場合は、個人情報保護委員会による勧告や命令(同法145条1項・2項)がなされ、当該命令に違反した場合には公表(同条4項)および罰金(同法173条・179条)の対象となる。
サイバー攻撃を受けた被害実態が定かでないなかで義務づけられる速報、およびフォレンジック調査だけでも数週間はかかることが少なくないなかでの確報について、実務上の対応の工夫が重要となる。
(2) 実務の運用
以下では、改正法施行後8カ月間(本稿執筆時点)の実務の経験から明らかになった個人情報保護委員会の対応について紹介する。
報告義務の正しい認識がまだ浸透しきっていないためか、報告期限に遅れて個人情報保護委員会に報告せざるを得なかった事案が散見されている。その結果、たとえば報告期限に遅れて速報を行った事例においては、個人情報保護委員会から「貴社に対する指導文書を出す可能性がある」との指摘がなされた事 案も確認されている。そのため、ECサイト運営企業の担当者は、クレカ情報漏えい事案の発生時にとるべき対応および期限をあらかじめ認識しておくこと、また、専門家などの適切な相談先を確保しておく重要性が高まっているといえる。
次に、速報および確報を提出した後に個人情報保護委員会事務局から要望や質問が届くケースが認められる。たとえば、「調査を実施した場合には調査報告書を提出してください」、「情報漏えいの原因を詳細に説明してほしい」、「本インシデント発生の影響の範囲を確認のうえで、本人への対応が適切にされているか?」 といった趣旨のものである。
これらは技術的な要素が含まれることもあるため、報告者側での対応の難易度負担が想定よりも大きいものとなっている。
4 対外公表
(1) 公表文の作成
フォレンジック調査の完了後、決済代行会社と協議し、公表日を決定することとなる。
公表文は、当該ECサイトの利用者(以下、単に「ユーザー」という)にとって必要な情報が得られる内容であることが求められる。基本的にはクレジットカード会社から提供されるひな形をもとに作成することになるが、具体的事情に基づいて適宜公表文の内容を調整することが考えられる。
たとえば、ECサイト以外の実店舗でも商品を販売している場合は、実店舗においてクレカを用いて商品を購入した顧客からの問合せも予想されるため、公表文において実店舗での購入者が漏えいの対象者であるか否かの説明も記載することが望ましいといえる。また、事案の概要をより正確に説明するため、公表文とともにFAQを掲載する方法も考えられる。
ECサイト運営企業がSNSのアカウントを用いて宣伝を行っている場合は、当該SNSアカウントでの発表も検討対象となる。SNSアカウントにおいて自社商品の宣伝を行いながらも、当該アカウントで漏えい事案公表に関する発信を行わないといった対応は、ユーザーからの批判を招くリスクを伴う。
(2) 本人への通知
上記3で説明したとおり、一定の漏えい事案においては本人への通知が個人情報保護法上の義務となる。
通知の時間的制限については、個人情報保護法施行規則10条には「当該事態の状況に応じて速やかに」と規定されている。 「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断するものとされている[注 4]。
同条には本人への通知に含ませる必要がある内容として、以下①~⑤の項目が規定されている。
① 概要
② 漏えい等が発生し、または発生したおそれがある個人データの項目
③ 原因
④ 二次被害またはそのおそれの有無およびその内容
⑤ その他参考となる事項
そのため、法の順守のためにはこれらの内容を整理し、本人へ通知する必要がある。もっとも、これらの事項がすべて判明するまで本人への通知をする必要がないというものではなく、本人への通知は「当該事態の状況に応じて速やかに」行う必要があるとされている点に留意しなければならない。そのため、場合によっては早い段階で上記①~⑤のうち判明している項目について通知を行い、その後に判明した項目については続報として再度本人へ通知するといった対応も考えられる。
また、ガイドライン[注 5]においては、本人への通知を要する場合であっても、本人への通知が困難である場合は、事業の公表などの本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められている。そして、本人への通知が困難な場合に該当する事例として、保有する個人データの中に本人の連絡先が含まれていない場合、連絡先が古いため通知を行う時点で本人へ連絡できない場合があげられている。
ECサイトでの漏えいの場合は、本人への通知はECサイトのアカウント作成時に登録されたメールアドレス宛に電子メールを配信する方法で行う場合が多いが、電子メールが届かない場合であっても、上記の例外に該当する場合を除いては原則として通知義務があることから、書面の郵送や電話による本人への伝達といった手段を検討する必要があると考えられる。
(3) 公表・通知後の問合せ対応
漏えい対象となった人数にもよるが、公表直後はユーザーからの問合せが殺到するため、筆者らの実務経験上 公表直後は土日祝一日も問合せ窓口の受付を実施することが望ましい。
また、漏えいを受けて、個人情報保護法33条1項または35条5項を根拠にECサイト運営企業が保有する個人データの開示または利用停止等を求めるユーザーも想定される。これらのユーザーに対しては個人情報保護法に基づき適切な対応を実施する必要がある。
Ⅴ 今後予想されるECサイト運営企業において必要となる対応
Ⅲ1(本誌1月号116頁参照)で説明した「クレジットカード・セキュリティガイドライン」は2022年度末に改定が予定されている。その改定にあたり、経済産業省はECサイトでのクレカの不正利用防止に向け、購入者がカード所有者本人であることを複数手段で認証する「EMV-3Dセキュア」と呼ばれるシステム規格の導入義務化を検討すると報じられた[注 6]。EMV-3Dセキュアは、ECサイトでの購入の際、カード所有者本人であることの確認としてパスワードの入力など複数の認証を行いセキュリティ効果を高めるものである。
従来の3Dセキュア(3Dセキュア1.0)は、すべての取引においてユーザーが設定したパスワードによる認証が必要なため、パスワードを忘れたユーザーや入力が面倒になったユーザーが手続の途中で離脱してしまう「カゴ落ち」のリスクが高く、それを懸念する加盟店が採用をためらうという問題があった。他 方、次世代規格のEMV-3Dセキュア(3Dセキュア2.0)は、さまざまなデータをもとにシステムが「不正利用のリスクが高い」と判定した場合のみ追加の認証を求める仕様になっており、加盟店にとって比較的導入しやすい方式といえる。
Ⅲ1で述べたとおり、同ガイドラインは割賦販売法35条の16に基づき加盟店に課される義務を具体化するものであるため、改定に伴いECサイト運営企業はEMV-3Dセキュア対応を迫られることが予想される。
注
画像
2022年12月26日、有志によって寄稿部分が開示された[1]。