メタップスペイメント、カード情報漏洩で個人情報保護委員会から指導
2022/07/26 情報セキュリティ, 個人情報保護法
株式会社メタップスペイメントは、2022年7月13日付で、個人情報保護委員会より、個人情報の保護に関する法律第144条に基づく指導を受けたことを公表しました。今回は、個人情報保護法における規定を確認するとともに、同社が指導を受けた経緯について詳しく見ていくことにしましょう。
指導までの経緯
株式会社メタップスペイメント(以下「MP社」)は、株式会社メタップス(東証グロース上場)を親会社とする決済事業会社です。2021年8月2日から2022年1月25日にかけて、MP社の決済データセンターサーバーに対し不正アクセスが行われ、①社内管理システムへの不正ログイン、②一部アプリケーションへのSQLインジェクション(アプリケーションに不正な命令を実行させる攻撃方法)、③バックドア(不正侵入するための裏口となる不正ファイル)の設置などの攻撃を受けました。
これらの一連の攻撃は、決済情報等が格納されているデータベースにまで達し、個人情報を含む、各種情報の外部流出に繋がったと言われています。
【流出した可能性があるとされる情報】
(1)トークン方式クレジットカード決済情報データベース
最大460,395件(カード番号・有効期限・セキュリティコード)
(2)決済情報データベース
・クレジットカード決済 2,415,750件(カード番号・有効期限)
※上記(1)の460,395件を含めた数字
・コンビニ決済 824,483件(氏名・電話番号・メールアドレス)
・ペイジー決済 170,435件(氏名・郵便番号・住所・電話番号)
・電子マネー決済 980,490件(メールアドレス)
(3)加盟店情報データベース
38件(加盟店名・加盟店コード)
個人情報保護委員会からの指導事項
MP社は決済代行業者として、加盟店を通じて一般消費者の決済情報を取り扱っているほか、加盟店から任意で提供を受けて多数の顧客の個人データについても恒常的に取り扱っている会社です。このような「個人情報を恒常的に取り扱う」という立場を踏まえると、MP社において“個人データの適正な取扱いの確保”について、組織としてより重点的に取り組む必要があるといえます。しかし、個人情報保護委員会によると、MP社において、以下の体制の不備が見られたとのことです。
(1)情報セキュリティ基本規程上では、個人データを含む自社が保有する情報資産について棚卸しを実施することとしていたはずが、実態は情報資産管理台帳の整備がされていなかったため、棚卸しが適切に実施されることなく、どのシステムにおいて情報資産を取り扱っているかすら把握していなかった
(2)個人データの取扱状況についての監査・点検を一部実施しておらず、その重要性に見合った取扱いを行っていなかった
(3)内部監査規程等における規程の外形は整備していた一方、これらを実行するための適切な人員配置が実質的に行われておらず、技術的安全管理措置を含む情報セキュリティに対する内部監査が機能していなかった
(4)不正侵入を検知した際のセキュリティアラートについての十分な検証がなされておらず、個人情報の保護に関する技術的安全管理措置の観点での対策が不十分であった
個人情報保護法第144条に基づく指導の内容
今回、個人情報保護委員会は、組織的安全管理措置として①経営層と従業者は、社内手続を通じるなどして個人データを取り扱っている範囲を把握し、全個人データについて定期的に棚卸しを行い、個人データの取扱状況についての監査・点検を実施すること②経営層は、技術的安全管理措置を含む情報セキュリティに対する内部監査に積極的に関与し、内部監査機能の強化を図ること、の2点が指導されました。また、技術的安全管理措置としては、技術的安全管理措置に関し、同社が既に策定した再発防止策を確実に実行することが指導として行われています。
コメント
MP社は今回の指導を受けて、顧客や取引先へのお詫びをするとともに、適切な改善策を講じることで信頼回復を図ることを目指しています。今後は策定した再発防止策の確実な実行が求められます。
関連コンテンツ
新着情報
- 業務効率化
- LegalForce公式資料ダウンロード
- 弁護士
- 野口 大弁護士
- 野口&パートナーズ法律事務所
- 〒530-0047
大阪府大阪市北区西天満1-2-5 大阪JAビル12階
- 弁護士
- 髙瀬 政徳弁護士
- オリンピア法律事務所
- 〒460-0002
愛知県名古屋市中区丸の内一丁目17番19号 キリックス丸の内ビル5階
- ニュース
- 今年秋施行予定、フリーランス新法とは2024.4.24
- NEW
- 個人事業主などを保護する「フリーランス新法」が今年秋に施行される見通しです。下請法と異なり全...
- 業務効率化
- Hubble公式資料ダウンロード
- 解説動画
- 斎藤 誠(三井住友信託銀行株式会社 ガバナンスコンサルティング部 部長(法務管掌))
- 斉藤 航(株式会社ブイキューブ バーチャル株主総会プロダクトマーケティングマネージャー)
- 【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦 ~インタラクティブなバーチャル株主総会とは~
- 視聴時間1時間8分
- まとめ
- 株主総会の手続き まとめ2024.4.18
- どの企業でも毎年事業年度終了後の一定期間内に定時株主総会を招集することが求められております。...
- セミナー
- 【リアル】連続受講(全6回)-法務担当者向け 法務基礎シリーズ-
- 2024/05/09
- 15:30~17:00
- 解説動画
- 岡 伸夫弁護士
- 【無料】監査等委員会設置会社への移行手続きの検討 (最近の法令・他社動向等を踏まえて)
- 終了
- 視聴時間57分