編集の要約なし
>パパ活也 (3ページ目まで) |
>パパ活也 編集の要約なし |
||
| 75行目: | 75行目: | ||
公表文は、当該ECサイトの利用者(以下、単に「ユーザー」という)にとって必要な情報が得られる内容であることが求められる。基本的にはクレジットカード会社から提供されるひな形をもとに作成することになるが、具体的事情に基づいて適宜公表文の内容を調整することが考えられる。 | 公表文は、当該ECサイトの利用者(以下、単に「ユーザー」という)にとって必要な情報が得られる内容であることが求められる。基本的にはクレジットカード会社から提供されるひな形をもとに作成することになるが、具体的事情に基づいて適宜公表文の内容を調整することが考えられる。 | ||
たとえば、ECサイト以外の実店舗でも商品を販売している場合は、実店舗においてクレカを用いて商品を購入した顧客からの問合せも予想されるため、公表文において実店舗での購入者が漏えいの対象者であるか否かの説明も記載することが望ましいといえる。また、事案の概要をより正確に説明するため、公表文とともにFAQを掲載する方法も考えられる。 | |||
ECサイト運営企業がSNSのアカウントを用いて宣伝を行っている場合は、当該SNSアカウントでの発表も検討対象となる。SNSアカウントにおいて自社商品の宣伝を行いながらも、当該アカウントで漏えい事案公表に関する発信を行わないといった対応は、ユーザーからの批判を招くリスクを伴う。 | |||
===== (2) 本人への通知 ===== | |||
上記3で説明したとおり、一定の漏えい事案においては本人への通知が個人情報保護法上の義務となる。 | |||
通知の時間的制限については、個人情報保護法施行規則10条には「当該事態の状況に応じて速やかに」と規定されている。 「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断するものとされている<ref group="注"><!--4-->前掲注3参照</ref>。 | |||
同条には本人への通知に含ませる必要がある内容として、以下①~⑤の項目が規定されている。 | |||
① 概要<br> | |||
② 漏えい等が発生し、または発生したおそれがある個人データの項目<br> | |||
③ 原因<br> | |||
④ 二次被害またはそのおそれの有無およびその内容<br> | |||
⑤ その他参考となる事項 | |||
そのため、法の順守のためにはこれらの内容を整理し、本人へ通知する必要がある。もっとも、これらの事項がすべて判明するまで本人への通知をする必要がないというものではなく、本人への通知は「当該事態の状況に応じて速やかに」行う必要があるとされている点に留意しなければならない。そのため、場合によっては早い段階で上記①~⑤のうち判明している項目について通知を行い、その後に判明した項目については続報として再度本人へ通知するといった対応も考えられる。 | |||
また、ガイドライン<ref group="注"><!--5-->前掲注3参照</ref>においては、本人への通知を要する場合であっても、本人への通知が困難である場合は、事業の公表などの本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められている。そして、本人への通知が困難な場合に該当する事例として、保有する個人データの中に本人の連絡先が含まれていない場合、連絡先が古いため通知を行う時点で本人へ連絡できない場合があげられている。 | |||
ECサイトでの漏えいの場合は、本人への通知はECサイトのアカウント作成時に登録されたメールアドレス宛に電子メールを配信する方法で行う場合が多いが、電子メールが届かない場合であっても、上記の例外に該当する場合を除いては原則として通知義務があることから、書面の郵送や電話による本人への伝達といった手段を検討する必要があると考えられる。 | |||
===== (3) 公表・通知後の問合せ対応 ===== | |||
漏えい対象となった人数にもよるが、公表直後はユーザーからの問合せが殺到するため、筆者らの実務経験上 公表直後は土日祝一日も問合せ窓口の受付を実施することが望ましい。 | |||
また、漏えいを受けて、個人情報保護法33条1項または35条5項を根拠にECサイト運営企業が保有する個人データの開示または利用停止等を求めるユーザーも想定される。これらのユーザーに対しては個人情報保護法に基づき適切な対応を実施する必要がある。 | |||
=== Ⅴ 今後予想されるECサイト運営企業において必要となる対応 === | |||
Ⅲ1(本誌1月号116頁参照)で説明した「クレジットカード・セキュリティガイドライン」は2022年度末に改定が予定されている。その改定にあたり、経済産業省はECサイトでのクレカの不正利用防止に向け、購入者がカード所有者本人であることを複数手段で認証する「EMV-3Dセキュア」と呼ばれるシステム規格の導入義務化を検討すると報じられた<ref group="注"><!--6-->「クレジット決済の本人確認 複数認証義務に 経産省検討」日本経済新聞2022年9月5日</ref>。EMV-3Dセキュアは、ECサイトでの購入の際、カード所有者本人であることの確認としてパスワードの入力など複数の認証を行いセキュリティ効果を高めるものである。 | |||
従来の3Dセキュア(3Dセキュア1.0)は、すべての取引においてユーザーが設定したパスワードによる認証が必要なため、パスワードを忘れたユーザーや入力が面倒になったユーザーが手続の途中で離脱してしまう「カゴ落ち」のリスクが高く、それを懸念する加盟店が採用をためらうという問題があった。他 | |||
方、次世代規格のEMV-3Dセキュア(3Dセキュア2.0)は、さまざまなデータをもとにシステムが「不正利用のリスクが高い」と判定した場合のみ追加の認証を求める仕様になっており、加盟店にとって比較的導入しやすい方式といえる。 | |||
Ⅲ1で述べたとおり、同ガイドラインは割賦販売法35条の16に基づき加盟店に課される義務を具体化するものであるため、改定に伴いECサイト運営企業はEMV-3Dセキュア対応を迫られることが予想される。 | |||
=== 注 === | === 注 === | ||