「クレジットカード情報が漏洩すると、どのような被害につながるの?」
「クレジットカード情報の漏洩を防ぐには、どのような対策が必要?」
クレジットカード情報の漏洩事件が後を絶ちません。クレジットカード不正利用の被害額は増加傾向にあり、事業者にはより一層のセキュリティ対策が求められています。
クレジットカード情報の漏洩が発生してしまうと、経済的損失が発生するだけではなく、組織としての信頼失墜につながるおそれがあります。
本記事では、クレジットカード情報漏洩について以下の内容を解説します。
- 漏洩被害の現状
- 漏洩の原因・手口
- 漏洩した場合の対応方法
- 漏洩を防ぐための対策
本記事を読むことで、クレジットカード情報を安全に取り扱うためのポイントがわかるでしょう。クレジットカード情報を取り扱っている組織の方は、ぜひご一読ください。
クレジットカードの情報漏洩対策を検討している組織の方、必見!
クレジットカードの情報漏洩を防ぐには、どのような対策が効果的?
セキュリティガイドラインの順守やWebサイトのセキュリティ強化が必要です。具体的な事例や最新データを元に、Webサイトを安全に運営するための方法をわかりやすく解説した資料をご用意しておりますので、ぜひこちらもご覧ください。
クレジットカード情報漏洩の被害
クレジットカード情報が漏洩すると、どのような被害が発生するのでしょうか。ここでは、クレジットカード情報が漏洩してしまうことで起こり得る、事業者側の被害について解説します。
経済的被害
「クレジットカード不正利用被害の発生状況」(一般社団法人日本クレジット協会)によると、クレジットカードの不正利用による被害額は、2022年に約437億円まで到達しています。2023年には僅かながら減少するも、引き続き400億円を上回っている状況です。
この被害額は、多くの場合、漏洩を引き起こした事業者側が負担することになります。また、原因究明にかかる調査費用や、システムの改修・復旧にかかる費用も事業者にとって無視できない金額となります。対処の間、ECサイトの運用を停止せざるを得ないため、機会損失による損害も発生するでしょう。
JNSA(日本ネットワークセキュリティ協会)の「インシデント損害額調査レポート2021」および「サイバー攻撃被害組織アンケート調査」(速報版)では、インシデントが発生した時にかかる費用について解説されています。リスクを想定する上で参考にしてみてはいかがでしょうか。
社会的信頼の喪失
クレジットカード情報を漏洩させてしまった場合、社会的信頼は大きく損なわれます。また、漏洩したクレジットカード情報が悪意のある第三者に不正利用されてしまうと、クレジットカード保持者も直接的な被害を受けます。そのため、一度でもクレジットカード情報が漏洩してしまうと、クレジットカード保持者は漏洩を引き起こした事業者を警戒し、関りを断つこともあるでしょう。事態が収束した後も、事業への影響は長期に及ぶことが想定されます。
一般の消費者だけでなく、取引先もリスクを回避しようとするため、取引停止といった対応がとられるリスクは否定できません。規模によっては事業の存続さえ危うくなるおそれもあります。
クレジットカード情報漏洩の原因・手口
クレジットカード情報漏洩を防ぐためにも、漏洩する原因・手口を確認しておきましょう。
クレジットカード情報不正入手の手口は、以下のように分類されます。
①フィッシング
クレジットカード会社を装ったメールを送信し、クレジットカード会員を偽サイトに誘導した上で、クレジットカード情報を入力させ、窃取します。
②スパイウェア
マルウェアの一種です。手口としては、何らかの方法で端末にスパイウェアを送り込み、保存されたクレジットカード情報を外部に送信します。
③スキミング
「スキマー」と呼ばれる装置を使用してクレジットカードの磁気ストライプの情報を読み取ることで、クレジットカード情報を窃取します。
クレジットカードへのICチップ搭載など、スキミング対策が講じられる一方で、Web上で行われる「Webスキミング」という手口も発生しています。スキマーの代わりとなる不正なプログラムをWebサイトやサービスに仕込むことで、クレジットカード会員が入力した情報を窃取します。
④不正アクセス
本来ログインできないはずのWebサーバーに何らかの方法で入り込み、保存されているクレジットカード情報を窃取したり、Webスキミングを仕掛けたりします。
⑤内部不正/誤操作
クレジットカード加盟店の内部関係者が不正に持ち出したり、誤操作によって外部にクレジットカード情報が流出してしまうリスクもあります。
ECサイト運用者が特に注意すべき原因・手口
ここでは、ECサイトを運用している事業者が特に注意すべき原因・手口として以下の3つについて解説します。
- ECサイトへの不正アクセス
- 人的ミス・内部不正
- 偽サイトへの誘導
ECサイトへの不正アクセス
ECサイトへの不正アクセスによって、クレジットカード情報が漏洩する事件が多数報告されています。よくある手口として、不正アクセスした後ECサイトを改ざんし、偽のフォームやリンクを設置する、というものがあります。
偽のフォームに利用者がクレジットカード情報を入力してしまったり、不正に設置されたリンクを踏んで偽の決済ページにアクセスしてしまうことで、クレジットカード情報が漏洩してしまいます。
人的ミス・内部不正
人的ミスや内部不正など、組織内の従業員の行動によってクレジットカード情報が漏洩してしまうケースも少なくありません。設定ミスによってクレジットカード情報が公開されてしまったり、従業員が自身の金銭的利益などのためにECサイト利用者のクレジットカード情報を不正に持ち出すといったケースが該当します。
偽サイトへの誘導
ECサイトそのものに対する不正アクセスや設定ミス以外に、公式のECサイトを装った偽サイトに利用者を誘導するケースもあります。正規の送信元を装ってメールを送信し、その中に偽サイトへのリンクを挿入しておく「フィッシング」と呼ばれる手法が代表的です。
偽サイトは精巧に作られているため、利用者が気づかずクレジットカード情報を入力してしまう事例が後を絶ちません。
クレジットカード情報が漏洩した場合の事業者の対応
クレジットカード情報の漏洩が発生した場合、事業者は速やかに対応しなければなりません。被害の拡大を防ぎ、再発を防止するためにも、以下のような対応が求められます。
- クレジットカード決済の停止
- フォレンジックの実施
- 個人情報保護委員会への報告
- クレジットカード所有者への説明・謝罪
1. クレジットカード決済の停止
クレジットカード情報の漏洩が発生した場合、速やかに決済を停止しなければなりません。カード決済が継続している場合、さらに被害が拡大するおそれがあります。ECサイトの場合はサイトそのものを一時的に閉鎖する検討も必要でしょう。事業に影響は出るものの、被害を防ぐためには必要な対応となります。
2. フォレンジックの実施
被害の拡大を食い止めたら、次に、なぜクレジットカード情報が漏洩したのか、原因を突き止めなければなりません。セキュリティ事故が発生した際に実施する調査のことを「フォレンジック」といい、一般的には外部機関に依頼します。システムや機器のログを調査して被害状況や手口を明らかにする、重要な対応の一つです。
フォレンジックを適切に実施するには、各種機器を事故発生時の状態に保つなど、証拠保全のための対応が必要です。また、フォレンジックにかかる費用は、100~500万円となるケースが多く、特に200~249万円程度が多いとされています。
※参考:EC サイトへの不正アクセスに関する実態調査|個人情報保護委員会
3. 個人情報保護委員会への報告
クレジットカード情報が漏洩した場合、個人情報保護委員会への報告が必要となります。令和4年4月施行の「改正個人情報保護法」によって、個人データの漏洩等が発生し、個人の権利利益を害するおそれがある場合は、個人情報保護委員会への報告と本人への通知が義務化されています。
クレジットカード情報の漏洩は、「財産的被害のおそれのある漏えい等」に分類されており、事故が発生した際は報告しなければなりません。詳しくは、個人情報保護委員会の案内をご覧ください。
※参考:個人情報保護法改正に伴う漏えい等報告の義務化と対応について|個人情報保護委員会事務局
4. クレジットカード所有者への説明・謝罪
クレジットカード情報が漏洩した場合、情報主体であるクレジットカード所有者にも説明と謝罪を行う必要があります。説明と謝罪には調査を行う必要があるため、通知までに時間がかかるケースも多々あります。フォレンジック調査会社やクレジットカード会社と連携しながら対応を進めなければなりません。
クレジットカード情報漏洩を防ぐためのセキュリティ対策
クレジットカード情報の漏洩を防ぐには、以下のセキュリティ対策が求められます。
- クレジットカード・セキュリティガイドラインの順守
- 利用者への周知啓発の強化
- ECサイトのセキュリティ強化
- 定期的な脆弱性診断の実施
クレジットカード・セキュリティガイドラインの順守
クレジットカード・セキュリティガイドラインとは、クレジットカードの取引に関わる各事業者が実施すべきセキュリティ対策の指針をまとめたもので、一般社団法人日本クレジット協会が公表しています。ガイドラインの中で定められている対策は、大きく以下の3つに分類されます。
- 情報保護対策
- 対面取引における不正利用対策
- 非対面取引における不正利用対策
特にECサイトを運営している事業者の場合、「情報保護対策」と「非対面取引における不正利用対策」の2つがメインとなります。ガイドラインを入念にチェックして対策を検討しましょう。
※参考:クレジットカード・セキュリティガイドライン【4.0 版】|一般社団法人日本クレジット協会
利用者への周知啓発の強化
利用者がマルウェアやフィッシングによる被害にあわないためにも、周知啓発の強化は有効な対策の一つです。マルウェアやフィッシングによるクレジットカード情報の窃取は、偽のメールや偽のWebサイトを使うため、ECサイトそのものへのセキュリティ対策を強化するだけでは防げません。
自社からのメールやWebサイトを騙ったフィッシングが確認された場合、利用者へ迅速に周知と注意喚起を行う必要があります。
ECサイトのセキュリティ強化
一方で、ECサイトそのもののセキュリティ強化も欠かせません。ECサイトへの不正アクセスによってクレジットカード情報が漏洩する事件も珍しくはないため、ECサイトにセキュリティ対策を実施する必要があります。
基本的な対策として、ECサイトで使用するOSやソフトウェアは常に最新のバージョンに更新しておきましょう。また、WAFやIPS/IDSなど、各種セキュリティ製品を導入して、万が一に備えましょう。これらは、クレジットカード情報を狙った攻撃のみならず、サイバー攻撃全般への対策となります。
ECサイトはサイバー攻撃の標的になりやすいため、適切なセキュリティ対策を実施しておくことが重要です。
▼関連記事
ECサイトのセキュリティ|重要な対策方法をわかりやすく解説
定期的な脆弱性診断の実施
セキュリティ対策の一環として特に効果的なのが、脆弱性診断の実施です。脆弱性診断では、ECサイトなどWebアプリケーションにおける脆弱性の有無と危険度をチェックし、危険度の評価と対策の提示を行います。脆弱性診断によってECサイトに潜むリスクを検知・修正できるため、クレジットカード情報の漏洩予防に有効です。
▼関連記事
脆弱性診断(セキュリティ診断)とは|必要性からやり方まで、すべて解説
まとめ|クレジットカード情報の漏洩対策はガイドラインの順守とECサイトのセキュリティ強化がポイント
クレジットカード情報の漏洩は、事業者にとって大きな打撃となります。事故対応や損害賠償にともなう経済的被害だけではなく、組織としての社会的信頼を失ってしまうおそれがあるため、きちんとセキュリティ対策を実施しましょう。
ECサイトを運営する事業者がクレジットカード情報の漏洩を防ぐには、以下の対策が有効です。
- クレジットカード・セキュリティガイドラインの順守
- 利用者への周知啓発の強化
- ECサイトのセキュリティ強化
- 定期的な脆弱性診断の実施
「クレジットカード・セキュリティガイドライン」の順守は必須となるため、個人情報保護法など各種法令と併せてチェックしておきましょう。ECサイト全体のセキュリティを見直し、クレジットカード情報保護に努めましょう。
