クレジットカード業界の情報セキュリティを学ぶ：PCIデータセキュリティ基準は使えるか？（1）（1/2 ページ）

クレジット業界の情報セキュリティ基準は、特にその技術要件が厳格である。そうしたセキュリティ基準を学ぶことで、自社のセキュリティ基準を問い直すきっかけにしてほしい。

多発するクレジットカード情報の流出／事故

　2007年末から2008年にかけて、日本国内においてクレジットカード情報の流出事件／事故が多発した。

　上記はすべて、海外のWebサイトを経由したサイバー攻撃により情報が流出した。具体的にはWebサイトのSQLインジェクションの脆弱（ぜいじゃく）性を利用し、外部から不正なコマンドを発行し、クレジットカード情報を含めた個人情報を抜き取る手法によった。

　上記の中で、特にサウンドハウスに関する事故は象徴的であった。事故の教訓を広く知ってもらい、同様の事故の再発を抑止することを目的に、発覚からの対応経緯について同社はつぶさに公表した。

近年のクレジットカード犯罪の傾向

　ここで整理しておきたいのは、クレジットカード情報が含まれた個人情報が漏えいする事件／事故の特徴である。

　クレジットカードをECサイトなど非対面で使用する際は、ほとんどが16桁（けた）のカード番号と有効期限により承認処理されている。すなわちクレジットカードは、カードの実物がなくとも、その情報だけで盗むことができるという特徴がある。

　クレジットカード情報が含まれた個人情報がECサイトから流出することは、確実に経済的に大きな損害が発生する。近年ハッカーの傾向や状況が大きく変化していることも事件／事故増加の要因の1つであると考えられる。

最近のカード犯罪における不正利用の1件当たりの被害額の平均は、十数万円程度が多い。そして盗み出したクレジットカード情報でオンラインゲームサイトで買ったアイテムや蓄積した経験値を持ったキャラクターを売却することで換金する犯罪が目立つようになった。これは、そうしたビジネスモデルが確立したことを表している。その売却額は1件当たり数万〜数十万円と推測している。

加害者の加盟店と被害者の加盟店

　事故の民事的な因果関係を、クレジットカードの制度の枠組みを基に考えると、まず一義的（第一の）な被害者は、盗まれたクレジットカード情報の保有者であり、加害者は情報を流出させた加盟店（加盟店Aとする）となる。

　クレジットカードが不正利用されたことが明らかな場合は、カード保有者にその請求がされることはなく、チャージバックという形で不正利用された加盟店（加盟店Bとする）には支払いがされず、カード保有者には被害が出ないようになっている。加盟店Bは、ECサイトなどですでに購入された商品を発送している場合、当然事件として警察に被害届を提出するなどして対応する。ここから、実際の損害を被っているのは加盟店Bということになる。

　もう1つ、目に見える被害がある。それは情報が盗まれたクレジットカードはもう使えないということである。カードの保有者には無償でカードの再発行がなされる。そのコストは、カードを発行しているクレジットカード会社（イシュア）が負担する。

　実際の損害については国際カードブランドのメンバーカードである場合は、当該ブランド会社がカード会社（イシュア）に対して保証し、その保証費用についてはブランド会社が加盟店募集したクレジットカード会社（アクワイアラ）に賠償請求するという制度になっている。例えばマスターカードではその請求額はカード1枚当たりの再発行を最大25ドル、不正利用のモニタリング費用が最大5ドルと決められている。一般的な考え方からすると賠償請求されたクレジットカード会社（アクワイアラ）は被害を起こした加盟店Aに求償するということになろう。

　よって仮にマスターカードのメンバーカード情報が10万件流出した場合は、最低でも30ドル×10万件で300万ドル（日本円換算で約3億円）がアクワイアラに請求されることになり、前述のとおり一般的には事故を起こした加盟店に対して求償される。しかしこの金額は賠償額の一部であり、またそのほかフォレンジック調査（被害規模や原因などを検証する調査）、広報、訴訟対応費用およびレピュテーション低下を含めれば加盟店Aの事故に伴う対応総額は「プライスレス」である。