ECサイトからのクレジットカード情報漏えい事案における法的留意点(下)

ビジネス法務 > ECサイトからのクレジットカード情報漏えい事案における法的留意点(下)

ECサイトからのクレジットカード情報漏えい事案における法的留意点(下)(いーしー-じょうほうろう-じあん-ほうてきりゅういてん(げ))とは、八雲法律事務所に所属する山岡裕明町田力柏原陽平が雑誌「ビジネス法務2023年2月号」に寄稿したコラムである。

本文

実務解説
ECサイトからのクレジットカード情報漏えい事案における法的留意点(上)

八雲法律法律事務所 弁護士(2010年登録)。情報処理安全確保支援士。University of California. Berkeley, School of Information修了(Master of information and Cybersecurity(修士))。
内閣サイバーセキュリティセンタータスクフォース構成員(19年~20年、21年~22年)。サイバーセキュリティ協議会運営委員会「サイバー攻撃被害に係る情報の共有ガイダンス検討会」検討委員(22年~)。

山岡裕明
Yamaoka Hiroaki

八雲法律事務所 弁護士(2012年登録)。情報法を専門とし、企業のサイバーインシデント対応、個人情報保護法対応、システム紛争を専門に扱う。近時の共著作として「サイバー保険の概要と加入に際しての検討事項」旬刊経理日報1646号(2022)

町田力
Machida Tuyoshi

八雲法律事務所 弁護士(2017年登録) 。情報処理安全確保支援士 総合商社を経て現職。企業のサイバーインシデント対応、個人情報保護法対応、システム紛争を専門に扱う。

柏原陽平
Kashihara Yohei


近年EC市場の拡大を受けて増加しているECサイトからのクレジットカード情報漏えい事案について、インシデント発生時における法的留意点を解説する。 迅速な対応が要求されるインシデントレスポンスの際に必要となるフォレンジック調査、関係者対応、改正個人情報保護法に基づく対応、公表等の各対応段階における基本的な流れや実務上のポイントを筆者らの実務経験に基づき紹介する。

Ⅳ クレカ情報漏えい時の対応

1 初動対応としてのフォレンジック調査

いずれの発覚の経緯であってもクレカ情報漏えいの原因および被害範囲を調査するために、初動対応としてフォレンジック調査[1]を実施することになる。

サイバーインシデント事案においてフォレンジック調査を行うことが一般的になりつつあるが、クレカ情報漏えい事案の特殊性としてフォレンジック調査を行う調査機関は原則として[注 1]PCI SSC(Payment Card Industry Security Standards Council:国際カードブランドによって設立されたクレカのセキュリティ基準の管理・運用を担う独立機関)が認定するフォレンジック機関(PCI Forensic Investigator:PFI)に限られるという点がある。

このように調査を依頼できる調査機関が限られていることに加え、近年クレカ情報漏えい事案が多発していることもあり、調査着手までに時間を要するケースも存在する。そのため、漏えいが発覚した際には速やかにPFIに連絡のうえ契約を締結するなど迅速な対応をとることが重要となる。

なお、調査対象のシステムにもよるが、フオレンジック調査自体は、2~4週間の期間で完了する場合が多い。そして、調査完了後、フォレンジック機関から調査結果をまとめたフォレンジックレポートが提出されることになる。ECサイト運営企業としては、当フォレンジックレポートに記載された内容をもとに以降の対応を進めることになる。

2 関係者対応

以上のPFIによるフォレンジック調査を実施することとなった場合には, 調査と並行して関係者対応を検討する必要がある。

具体的には、後述する個人情報保護委員会への報告のほか、警察への被害報告、取引先に対する説明などがある。場合によってはクレジットカード会社を所管する経済産業省からのヒアリングが行われる可能性もある。

また、公表後には多数の顧客からの問合せが発生することが予想されるため、外部のコールセンターを活用することも有用である。その場合、希望するスケジュールの確保のため、コールセンター運営会社へは早めに依頼の打診を行うことが重要となる。

さらに、上場企業においては適時開示(有価証券上場規程402条)を行うか否かの検討が必要となる。この適時開示は、サイバー事業において頻出する悩ましい論点である。悩ましい理由の1つは、インシデント発生直後においてはサイバー被害の全体像が把握しづらいという点である。

特に問題となることが多いのは発生事実のバスケット条項(同条2号X)の該当性である。同号Xは、「(aから前wまでに掲げる事実のほか、)当該上場会社の運営、業務若しくは財産又は当該上場株券等に関する重要な事実であって投資者の投資判断に著しい影響を及ぼす」事実が発生した場合に適時開示を義務づけるものであるところ、「投資者の投資判断に著しい影響を及ぼす」の該当性については、個別具体的に判断することとされているため[注 2]、実務上、サイバー被害が発生した場合の適時開示の要否については、情報漏えいによる責任の範囲、予想される賠償額、開示時期、開示資料の内容、業績への影響について証券取引所の担当者と密に連携をとりながら決定していくことが重要である。

3 個人情報保護法に基づく対応

(1)個人情報保護委員会への報告と本人への通知

個人情報保護法に基づく対応の中で特に重要なのは、個人情報保護委員会への報告と本人への通知である。

2022年4月1日より施行されている改正個人情報保護法のもとでは、一定の漏えい事業においては個人情報保護委員会への報告と本人への通知が法律上の義務となった(改正人情報保護法26条、同法施行規則7条)。そして、同法施行規則7条2号には報告および通知を要する一定の漏えい事案として「不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」が規定されており、同法のガイドライン[注 3]ではその具体的な事例の1つとして、「ECサイトからクレジットカード番号を含む個人データが漏えいした場合」があげられている。

また、サイバー攻撃によりクレカ番号を含む個人データが漏えいしたという点で個人情報保護法施行規則7条3号の「不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態」にも該当し、漏えい対象者が1,000人を超える場合には同条4号の「個人データに 係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態」にも該当する可能性がある。

個人情報保護委員会への報告については、速報と確報が必要となり、速報については「速やかに」(改正個人情報保護法施行規則8条1項)。確報については原則として「30日以内」(ただし、不正の目的をもって行われたおそれがある漏えい事件は60日以内。同条2項)に報告しなければならない(【図表3】 参照)。当該報告を怠った場合は、個人情報保護委員会による勧告や命令(同法145条1項・2項)がなされ、当該命令に違反した場合には公表(同条4項)および罰金(同法173条・179条)の対象となる。

サイバー攻撃を受けた被害実態が定かでないなかで義務づけられる速報、およびフォレンジック調査だけでも数週間はかかることが少なくないなかでの確報について、実務上の対応の工夫が重要となる。

(2)実務の運用

以下では、改正法施行後8カ月間(本稿執筆時点)の実務の経験から明らかになった個人情報保護委員会の対応について紹介する。

報告義務の正しい認識がまだ浸透しきっていないためか、報告期限に遅れて個人情報保護委員会に報告せざるを得なかった事案が散見されている。その結果、たとえば報告期限に遅れて速報を行った事例においては、個人情報保護委員会から「貴社に対する指導文書を出す可能性がある」との指摘がなされた事 案も確認されている。そのため、ECサイト運営企業の担当者は、クレカ情報漏えい事案の発生時にとるべき対応および期限をあらかじめ認識しておくこと、また、専門家などの適切な相談先を確保しておく重要性が高まっているといえる。

次に、速報および確報を提出した後に個人情報保護委員会事務局から要望や質問が届くケースが認められる。たとえば、「調査を実施した場合には調査報告書を提出してください」、「情報漏えいの原因を詳細に説明してほしい」、「本インシデント発生の影響の範囲を確認のうえで、本人への対応が適切にされているか?」 といった趣旨のものである。

これらは技術的な要素が含まれることもあるため、報告者側での対応の難易度負担が想定よりも大きいものとなっている。

4 対外公表

(1)公表文の作成

フォレンジック調査の完了後、決済代行会社と協議し、公表日を決定することとなる。

公表文は、当該ECサイトの利用者(以下、単に「ユーザー」という)にとって必要な情報が得られる内容であることが求められる。基本的にはクレジットカード会社から提供されるひな形をもとに作成することになるが、具体的事情に基づいて適宜公表文の内容を調整することが考えられる。

たとえば、ECサイト以外の実店舗でも商品を販売している場合は、実店舗においてクレカを用いて商品を購入した顧客からの問合せも予想されるため、公表文において実店舗での購入者が漏えいの対象者であるか否かの説明も記載することが望ましいといえる。また、事案の概要をより正確に説明するため、公表文とともにFAQを掲載する方法も考えられる。

ECサイト運営企業がSNSのアカウントを用いて宣伝を行っている場合は、当該SNSアカウントでの発表も検討対象となる。SNSアカウントにおいて自社商品の宣伝を行いながらも、当該アカウントで漏えい事案公表に関する発信を行わないといった対応は、ユーザーからの批判を招くリスクを伴う。

(2)本人への通知

上記3で説明したとおり、一定の漏えい事案においては本人への通知が個人情報保護法上の義務となる。

通知の時間的制限については、個人情報保護法施行規則10条には「当該事態の状況に応じて速やかに」と規定されている。 「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断するものとされている[注 4]

同条には本人への通知に含ませる必要がある内容として、以下①~⑤の項目が規定されている。

① 概要
② 漏えい等が発生し、または発生したおそれがある個人データの項目
③ 原因
④ 二次被害またはそのおそれの有無およびその内容
⑤ その他参考となる事項

そのため、法の順守のためにはこれらの内容を整理し、本人へ通知する必要がある。もっとも、これらの事項がすべて判明するまで本人への通知をする必要がないというものではなく、本人への通知は「当該事態の状況に応じて速やかに」行う必要があるとされている点に留意しなければならない。そのため、場合によっては早い段階で上記①~⑤のうち判明している項目について通知を行い、その後に判明した項目については続報として再度本人へ通知するといった対応も考えられる。

また、ガイドライン[注 5]においては、本人への通知を要する場合であっても、本人への通知が困難である場合は、事業の公表などの本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められている。そして、本人への通知が困難な場合に該当する事例として、保有する個人データの中に本人の連絡先が含まれていない場合、連絡先が古いため通知を行う時点で本人へ連絡できない場合があげられている。

ECサイトでの漏えいの場合は、本人への通知はECサイトのアカウント作成時に登録されたメールアドレス宛に電子メールを配信する方法で行う場合が多いが、電子メールが届かない場合であっても、上記の例外に該当する場合を除いては原則として通知義務があることから、書面の郵送や電話による本人への伝達といった手段を検討する必要があると考えられる。

(3)公表・通知後の問合せ対応

漏えい対象となった人数にもよるが、公表直後はユーザーからの問合せが殺到するため、筆者らの実務経験上 公表直後は土日祝一日も問合せ窓口の受付を実施することが望ましい。

また、漏えいを受けて、個人情報保護法33条1項または35条5項を根拠にECサイト運営企業が保有する個人データの開示または利用停止等を求めるユーザーも想定される。これらのユーザーに対しては個人情報保護法に基づき適切な対応を実施する必要がある。

Ⅴ 今後予想されるECサイト運営企業において必要となる対応

Ⅲ1(本誌1月号116頁参照)で説明した「クレジットカード・セキュリティガイドライン」は2022年度末に改定が予定されている。その改定にあたり、経済産業省はECサイトでのクレカの不正利用防止に向け、購入者がカード所有者本人であることを複数手段で認証する「EMV-3Dセキュア」と呼ばれるシステム規格の導入義務化を検討すると報じられた[注 6]。EMV-3Dセキュアは、ECサイトでの購入の際、カード所有者本人であることの確認としてパスワードの入力など複数の認証を行いセキュリティ効果を高めるものである。

従来の3Dセキュア(3Dセキュア1.0)は、すべての取引においてユーザーが設定したパスワードによる認証が必要なため、パスワードを忘れたユーザーや入力が面倒になったユーザーが手続の途中で離脱してしまう「カゴ落ち」のリスクが高く、それを懸念する加盟店が採用をためらうという問題があった。他 方、次世代規格のEMV-3Dセキュア(3Dセキュア2.0)は、さまざまなデータをもとにシステムが「不正利用のリスクが高い」と判定した場合のみ追加の認証を求める仕様になっており、加盟店にとって比較的導入しやすい方式といえる。

Ⅲ1で述べたとおり、同ガイドラインは割賦販売法35条の16に基づき加盟店に課される義務を具体化するものであるため、改定に伴いECサイト運営企業はEMV-3Dセキュア対応を迫られることが予想される。

  1. 国際カードブランドのルールや漏えい件数の規模によっては、例外的にPF認定外調査会社に依頼することが可能な場合もある。
  2. 久保幸年「適時開示の理論・実務」(中央経済社、2018)
  3. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」 (2022年9月一部改正)
  4. 前掲注3参照
  5. 前掲注3参照
  6. 「クレジット決済の本人確認 複数認証義務に 経産省検討」日本経済新聞2022年9月5日

画像

2022年12月26日、有志によって寄稿部分が開示された[2]

註釈

  1. 2022年10月より八雲法律事務所に併設している八雲Security & Consultingでもフォレンジック調査が行えるようになっており、今回の寄稿はその営業も兼ねていると考えられる
  2. 【山岡裕明】八雲、名古屋・山本法律事務所事実追及スレ【山本祥平】★2>>423(魚拓)

関連項目


山岡裕明
一覧 法律事務所クロス - 八雲法律事務所 - 経歴(八雲法律事務所設立後) - 記事・著作
関連する人物 唐澤貴洋 - 山本祥平 - 渡邊恵美 - 小田原潔- 山口貴士 - 中島博之 - 杉本賢太 - 千葉哲也 - 阿部通子 - 町田力 - 柏原陽平 - 畔柳泰成- 田村祥一 - 長野英樹 - 菊地康太 - 小林尚通 - 笠置泰平 - 星野悠樹 - 上野浩理 - 大友雅則 - 村田和希 -井上拓 - 髙間裕貴 - 片岡弘
関連する団体 三田国際学園 - ネットリテラシー検定機構 - デジタルフォレンジック研究会- ゲーミング法制協議会 -情報ネットワーク法学会
依頼人 フジテックス - サイモントン療法協会 - 大橋清貫 - 中野江古田病院 - 伝創社 - 日本ハッカー協会 - Amazon規約違反者 -ドラゴンコンサルティング - 木下喬弘(手を洗う救急医Taka )
記事 銀行実務 - 日本経済新聞 - 著作権、無自覚の侵害が問題(日経) - 漫画サバイバル(日経) - 法とコンピュータ

サイバーセキュリティと企業法務(1)(2)(3)(4) - 経営者の喫緊の課題 新たなサイバーリスクへの向き合い方(ビジネス法務/中央経済社) - 中央ロー・ジャーナル - 米国におけるサイバーセキュリティ法制と訴訟リスクの検討(上) (下) (ビジネス法務/中央経済社) - サイバーインシデント発生時の初動対応・再発防止策(ビジネス法務/中央経済社) - サイバーインシデント対応における再発防止策の構築(ビジネス法務/中央経済社) - ECサイトからのクレジットカード情報漏えい事案における法的留意点(上) (下)(ビジネス法務/中央経済社)
IT関連の最新動向と法務リスク(会社法務A2Z) - 脅迫型サイバー攻撃の現状と企業対応の実務(会社法務A2Z) - ランサムウェアによる脅迫型サイバー攻撃に対する実務最前線(会社法務A2Z)
インターネットを利用した業務妨害(ICHIBEN Bulletin) - 「IT嫌い」「IT初心者」(!?)のための サイバーセキュリティ入門 ~14のQ&A~ (ICHIBEN Bulletin)
サイバーセキュリティリスクに備える契約上の留意点~秘密情報の開示・漏えいの取り扱い~(旬間経理情報) - サイバー保険の概要と加入に際しての検討事項(旬間経理情報)
インターネット業務妨害に対する米国の証拠開示制度の活用(自由と正義)- 経営判断を迫るサイバー攻撃・ランサムウェアの最新動向について(国際商事法務) - サイバー不正の世界的脅威と日本企業の現状 〜ランサムウエアなど不正対策の最前線を聞く(ACFE JAPAN) - 西田弁護士インタビュー - マルウェア感染により信用組合が負う法的リスク(しんくみ) - 新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? - 競争法における「サイバーセキュリティの確保」の要請(ぎょうせい) - 金融機関とサイバーセキュリティ 第1回 内部不正による個人情報漏えい(しんくみ)

著作 デジタル法務の実務Q&A(日本加除出版) - 情報セキュリティQ&A45(日本経済新聞出版社) - インターネット権利侵害者の調査マニュアル(ビジネス法務/中央経済社) - 業種別にわかるデータ保護・活用の法務Q&A(ビジネス法務/中央経済社) - 法律実務のためのデジタル・フォレンジックとサイバーセキュリティ(株式会社商事法務) - 金融デジタライゼーション時代の サイバーセキュリティ早わかり講座(銀行研修社)
事件・騒動 唐澤貴洋と山岡裕明のご尊容開示事件 - 巨人山口顧問弁護士なりすまし事件 - 投票所襲撃メール - 石崎敦子
裁判 平成27年(ワ)8441号安藤良太) -平成27年(ワ)第33589号(サイモントン療法協会) -東京地方裁判所 平成28年(ワ)第38586号アマギフ裁判) -平成31年(ワ)第2422号(ドラゴンコンサルティング) - 令和元年(ワ)第33533号LGBT: ~言論を破壊するものたち~) - 令和2年(ワ)第1667号(アドエイト) - 令和2年(ワ)第22414号令和3年(ワ)第9794号(中野江古田病院) - 令和3年(ワ)第6410号(NTTコミュニケーションズ)令和3年第(ワ)12332号(NTTドコモ)(尻穴まで洗う救急医Baka)
二次設定・創作 メスイキ(18禁)