ECサイトからのクレジットカード情報漏えい事案における法的留意点(上)
ECサイトからのクレジットカード情報漏えい事案における法的留意点(上)(いーしー-じょうほうろう-じあん-ほうてきりゅういてん(じょう))とは、八雲法律事務所に所属する山岡裕明と町田力、柏原陽平が雑誌「ビジネス法務2023年1月号」に寄稿したコラムである。
本文
実務解説
ECサイトからのクレジットカード情報漏えい事案における法的留意点(上)
八雲法律法律事務所 弁護士(2010年登録)。情報処理安全確保支援士。University of California. Berkeley, School of Information修了(Master of information and Cybersecurity(修士))。
内閣サイバーセキュリティセンタータスクフォース構成員(19年~20年、21年~22年)。サイバーセキュリティ協議会運営委員会「サイバー攻撃被害に係る情報の共有ガイダンス検討会」検討委員(22年~)。
山岡裕明
Yamaoka Hiroaki
八雲法律事務所 弁護士(2012年登録)。情報処理安全確保支援士。総合商社を経て現職。企業のサイバーインシデント対応、個人情報保護法対応、システム紛争を専門に扱う。
町田力
Machida Tuyoshi
八雲法律事務所 弁護士(2017年登録) 。情報処理安全確保支援士 総合商社を経て現職。企業のサイバーインシデント対応、個人情報保護法対応、システム紛争を専門に扱う。
柏原陽平
Kashihara Yohei
近年EC市場の拡大を受けて増加しているECサイトからのクレジットカード情報漏えい事案について、インシデント発生時における法的留意点を解説する。 迅速な対応が要求されるインシデントレスポンスの際に必要となるフォレンジック調査、関係者対応、改正個人情報保護法に基づく対応、公表等の各対応段階における基本的な流れや実務上のポイントを筆者らの実務経験に基づき紹介する。
Ⅰ はじめにークレカ情報漏えい事案増加の背景
近年、ECサイトの普及に伴い、クレジットカード(以下「クレカ」という)に係る情報(以下「クレカ情報」という) の漏えい事案が増加している。
新型コロナウイルス感染症拡大の対策として、外出自粛の呼びかけおよびECサイトの利用が推奨された結果、各社はその対応を迫られ、EC事業の開始を検討する企業が増加している。そのような企業の中には手数料を考慮して、大手ECモールに出店するのではなく、比較的容易にECサイトを作成できるソフトを利用し、自社ECサイトを開設する企業も増加している[1]。
これらを背景としてECサイトが増加し、経済産業省の調査結果によると、2013年時点で約11兆円であったEC市場規模 (国内 BtoC-EC市場のみ) は、2021年時点で約20兆円に達している[2]。
そして、ECサイトの増加に伴い、消費者によるクレカ情報の入力機会も増加した結果、ECサイトからのクレカ情報漏えい事案(以下「クレカ情報漏えい事案」という)も増加している[3]。
このことは、ECサイトからのクレカ情報漏えい事案に限らないものの、国内で発行されたクレカの不正利用による被害が2021年に過去最高額の約330億円に上ったという日本クレジット協会の調査結果(【図表1】参照)にも顕著に表れている。
Ⅱ クレカ情報漏えい事案の概要およびその特徴
1 クレカ情報漏えい事案の概要
クレカ情報漏えい事案とは、ECサイトで商品を購入する際に、決済画面においてクレカ情報を入力のうえ決済を行うが、その際に入力したクレカ情報が盗み出され、不正に使用されるという事案である。
不正利用分について、クレジットカード会社がその会員規約[4]に基づきクレカの保有者に補償した場合、当該補償額相当額について、クレカ情報の漏えい原因となったECサイトの運営企業(以下「ECサイト運営企業」という)がクレジットカード会社から求償を受けることになる。
2 クレカ情報漏えい事案の特徴
(1)一般的な個人情報の漏えい
一般的な個人情報の漏えいの場合、漏えいした個人情報の主体たる本人から、個人情報の管理者に対し、プライバシー権侵害により精神的損害を被ったとして損害賠償請求が行われることが想定される。その際の認定額については、過去の裁判例が参考になる。
著名な裁判例としては、2014年7月に発覚した大手通信教育事業者からの約2,800万件に及ぶ個人情報の漏えい事件 (いわゆるベネッセ事件) に関する一連の裁判例があげられる。そのうち大阪高等裁判所の令和元年判決では、氏名、住所、生年月日、性別等が漏えいしたところ、損害額として1人あたり1,000円が認定された[5]。
このように、漏えいした個人情報がすでに公となっていることが多く、また、本人自らそれを公表する機会も多いような内容の場合には、プライバシー侵害の程度としては比較的低いと判断され、損害額も低くなる傾向にある。ベネッセ事件に関する東京高等裁判所の令和2年判決でも、上記氏名等のほか出産予定日が漏えいした事業について、1人あたり3,300円(慰謝料3,000円、弁護士費用300円)が損害として認定されている[6]。
他方、通常第三者が知り得ない情報まで漏えいした場合には、プライバシー侵害の程度は高いと判断され、損害額も高くなる傾向にある。たとえば、エステを受けようとしていることやエステの施術コースといった情報が漏えいした事案 (いわゆるTBC事件) では、損害額として1人あたり最大3万5,000円 (慰謝料 3万円 弁護士費用 5,000円) が認定された[7]。
また、被告 (京都府宇治市) の再々委託先のアルバイト従業員が住民約22万人の住民基本台帳データを不正にコピーしてこれを名簿販売業者に販売し、当該名簿販売業者がこれをさらに販売した事案において、損害額として1人あたり1万5,000円 (慰謝料1万円、弁護士費用5,000円) が認定されたこともあるが[8]、同事案は地方自治体による漏えいという点に特徴がある。
以上のとおり、近年の裁判例の傾向としては、特殊事情がない場合においては、1人あたり数千円程度が個人情報漏えいにおける賠償額の相場となっているといえる。そのため、実務上は、漏えいした個人情報の管理者が情報の主体たる本人に対し、500円~1,000円分程度のQUOカード等を配布することで事態の収束が図られる場合も散見される。
(2)クレカ情報の漏えい
一方、クレカ情報漏えい事案の場合は、プライバシー権侵害に加えて不正利用による経済的な損失が発生するため、1件あたりの被害額が高額となる。
また、一般的な個人情報の漏えいの場合、被害の回復は通常は民事訴訟の提起を通じた個人情報の管理者に対する損害賠償請求によって図られるため、情報の主体たる本人にとって権利行使のハードルが高く実際に請求がなされることが多くないといえる。
他方、クレカ情報漏えい事案の場合、クレカの保有者は、クレジットカード会社に対してクレカが不正利用されたことの届出をすれば、不正利用による損害の填補を受けられることになる。そのため、クレカ情報漏えい事案の場合には、漏えい対象者による被害回復のための請求が顕在化しやすいという特徴がある。そして、クレジットカード会社は補償額の合計額を集計のうえ、 加盟店契約[9]に基づいてECサイト運営企業に求償をする (なお、実務上の運用としては、クレカ情報漏えい事案発生の公表前にクレジットカード会社とECサイト運営企業とで費用精算に関する合意書を締結する場合が多い)。その結果、一般的な個人情報の漏えいと比較して、漏えい原因となった企業の賠償責任は顕在化しやすいともいえる。
以上のことから、たとえば一つのECサイトからクレカ情報が1万件分流出した場合には、賠償額が1億円 (1人あたりの不正利用額1万円×1万人)を超える賠償請求が実際になされることも十分に想定される。
Ⅲ クレカ情報漏えいの主な原因および発覚の経緯
1 クレカ情報漏えいの主な原因
2018年に施行された2016年改正割賦販売法第35条の16は、加盟店 (本稿においてはECサイト運営企業が加盟店の位置づけになる) に対して経済産業省令で定める基準に従い、クレカ情報の適切な管理のために必要な措置を講じなければならないという義務を課した。
上記の「必要な措置」の具体的内容については、クレジット取引セキュリティ対策協議会で策定された 「クレジットカード・セキュリティガイドライン」を指針とすることとされており、ガイドラインで掲げられている「必要な措置」は、①加盟店におけるクレカ情報の非保持化または②クレカ情報を保持する場合はPCI DSS(Payment Card Industry Data Security Standard)への準拠となっている。
PCI DSSという世界基準への準拠は、時間やコスト等から考えて現実的ではないため、加盟店においては、実際上クレカ情報を保持しないという対応が求められる。その結果、多くのECサイトでは、クレカの決済システムを組み込むにあたって自動的に非保持になるように設定されている。この非保持の仕様についてはいくつか存在するが共通するのは、クレカ保有者が決済画面において入力した情報がECサイト運営企業のサーバに保持されないという点である。
本来非保持であれば、ECサイトがサイバ攻撃を受けてもクレカ情報がそのサーバ内に保存されていないため、クレカ情報は窃取されないということになる。
しかしながら、昨今のサイバー攻撃では、ECサイトの管理画面から不正アクセスのうえ非保持の機能をそもそも改ざんするなどしてECサイトの利用者が決済画面に入力したクレカ情報を窃取しており、非保持化のルアールのもとでも、ECサイトからのクレカ情報漏えい事案は後を絶たないのが実情である。つまりECサイト運営企業はガイドラインを順守していたとしてもクレカ情報漏えいのリスクが存在するということになる。
2 クレカ情報漏えいの発覚の経緯
発覚の経緯としては2つ存在する。1つはECサイト運営企業が不正アクセスを覚知する場合、もう1つはクレジットカード会社がクレカの不正利用をそのモニタリングシステムにおいて検知して、CPP(Common Purchase Point)という考えに基づいて漏えい原因としての可能性が高いECサイト運営企業に連絡が入るというものである。
なお、【図表2】のとおり不正利とは、用分のデータを分析し, それぞれ過去の真正利用先を調査・特定して、そこから発見された共通の利用元であるECサイトがクレカ情報流出元の可能性が高いという考え方である。
(次号に続く)
画像
2022年11月23日、有志によって寄稿部分が開示された[10]。また、12月26日には次号の(下)と共に鮮明な(上)の写真が再度開示された[11]。
註釈
- ↑ 1 たとえば、BASE株式会社が提供するネットショップ作成サービスにおける累計ショップ開設数は、2020年2月時点では190万店ほどであったが、2021年3月時点では140万店を超えている(総務省「令和3年版 情報通信白書」(2021年7月))。
- ↑ 2 経済産業省「令和3年度電子商取引に関する市場調査報告書」(2022年8月)
- ↑ 3 なお、ECサイトからのクレカ情報漏えい事案の増加は、磁気ストライプのクレカからICクレカの移行によりクレカ自体の偽造が困難となっていることも一因と考えられる。
- ↑ 4 たとえば、三井住友カード会員規約(個人用)14条項「.....当社は、会員が紛失・盗難により他人にカードもしくはカード情報またはチケットを不正利用された場合であって、前条第2項に従い警察および当社への届出がなされたときは、これによって本会員がるカードまたはチケット等の不正利用による損害をてん補します。」と、一定の場合にクレカ保有者に不正利用分を補償することを規定している(https://www.smbc-card.com/mem/kiyaku/responsive/pdf/smbo-card_kiyaku_kajin.pdf)。
- ↑ 5 大阪高判令元20判時2448号26頁
- ↑ 6 東京高判令2.3.25(判例集未登載)
- ↑ 7 東京高判平19.8.28判タ 1264号299頁 原審東京地判平19.2.8 判時1964号113頁)
- ↑ 8 大阪高判平13.12.25 265号11頁 原審: 京都地判平13.2.23 半自265号 17頁)
- ↑ 9 たとえば、ユーシーカード加盟店規約の23条7項は、「個人情報への不当なアクセスまたは個人情報の紛失・破壊・改ざん漏洩等の危険に対し、合理的な安全対策を講じるものとします。」と規定し、29条3項は、「加盟店は、加盟店または業務委託先が第23条および第24条に違反することにより当社、カード会社、提携組織、または会員に損害を生じせしめた場合には、これにより当社、カード会社、提携組織、または会員が被った損害等を賠償する義務を負うものとします。」と規定し項(3)において 「カードの不正使用による損害。」と規定している (https://www2.uccard.co.jp/uc/kameiten/other/kameiten_kiyaku.html)。
- ↑ 【山岡裕明】八雲、名古屋・山本法律事務所事実追及スレ【山本祥平】★2>>281(魚拓) - マヨケー
- ↑ 【山岡裕明】八雲、名古屋・山本法律事務所事実追及スレ【山本祥平】★2>>423(魚拓)