ビザ、マスターなど米大手クレジットカードの個人情報が最大4000万件余り流出していた可能性が明らかになった問題で、17日午後(日本時間18日午前)、マスターカード・インターナショナルの発表に続き、ビザUSAも情報が「危険にさらされた」との談話を出し、米当局の捜査に協力していると認めた。米紙ロサンゼルス・タイムズ(電子版)は、マスターカードだけで少なくとも6万8000枚分のデータが不正使用され被害が出たと報じた。
米紙ワシントン・ポスト(電子版)は不正アクセスが起きたのは昨年後半と報じた。マスターカード幹部の話として、約2週間前に不正に気づいた、とも伝えた。
ビザ、マスターなどの場合、カード契約者が利用明細などで不正な使用に気づいて銀行などのカード発行者に連絡すれば、支払いの義務は負わない。不正防止対策としては、別の番号の新たなカードに切り替える方法などがあるが、カード発行金融機関が不自然な取引が増加するかどうかを見極めてから判断するという。
ネットワークへの不正アクセスを受けたとみられる米情報処理会社「カードシステムズ・ソリューションズ」はカード会社から委託されて、カードが使われた飲食店や小売店などからの情報を金融機関に転送している。扱う情報は小売店などの端末に応じて異なり、カード番号と有効期限だけの場合も、名前やカードに記入されているセキュリティーコードと呼ばれる3、4ケタの数字を含む場合もあった。
米紙ニューヨーク・タイムズは、マスターカードの話として、この処理会社が本来は転送するだけで社内に記録しないはずのカード情報をマスターカードとの契約に反して保存していた、と報じている。
米調査によると、米国で利用されているクレジットカードは約13億枚。多額の現金を持ち歩くことへの不安もあり、3億人弱の人口をはるかに上回っている。米国では6月に入って、銀行最大手シティグループが、顧客情報390万人分を配送会社が運搬中に紛失したと発表。5月には複数の大手行の顧客情報10万件以上が元行員らに盗まれていたことが明らかになるなど個人情報の流出が相次いでおり、防止策の強化が求められている。
4,000万人分の個人情報が漏洩したいうことで、カードの不正使用等、これら被害が顕在化していく、拡大する可能性があります。
各カード会社は、業務委託先の監督/監査をどうしていたのでしょうか。記事によると契約違反の行為もあったようです。カード会社の業務委託先に対する管理責任が問われそうです(というより、ほぼ間違いなく問われますね)。
又、一企業に米国の大手カード会社が業務を委託していたことに驚きました。ですから、一社でなく複数社の情報が一括して漏洩する結果になったのは明白ですね。
(1) 業務委託先との契約条件と実施監視
(2) 個人情報に関する重大な業務を外部委託することの妥当性
(3) 一部の情報処理サービス企業に集中するリスク
業務の効率性やコスト等の理由で、外部委託したのでしょうが、闇雲な外部委託は再考の余地があると思います。また、業務委託先に対する監査/監視体制の見直しも必要ですね。
0 件のコメント:
コメントを投稿