« 原発ゼロについての一つの考察 | トップページ | GPS捜査についての最高裁判断 »

2017年3月16日 (木)

クレジットカードのネット決済での情報流出

これまでに被害の報告はないというもの恐ろしい事件だと思いました。

日経 3月11日 カード情報67万件流出か 都税サイト、不正アクセス被害

情報が流出した東京都主税局のお知らせは次です。

3月15日 「都税クレジットカードお支払サイト」への不正アクセスに関するお知らせ

このお知らせのページが15日で、利用停止措置を実施したのが10日11時15分、報道発表が3月10日と複雑になっているのは、東京都の関係者も混乱していたからなのでしょうか。(もっとも、報道発表資料の方が詳しく、情報流出の可能性は2015年4月1日から2017年3月9日23時53分までのサイト利用者のクレジットカード情報としてカード番号、カード・ブランド、有効期限が流出。合計67万6290件(うち61万4629件はメールアドレスを含む)とある。)

東京都税の指定代理納付者となっているトヨタファイナンス(株)(ホームページはここ)とはトヨタ自動車(株)の100%子会社であるトヨタファイナンシャルサービス(株)の100%子会社と言うわけで、トヨタ自動車(株)の100%孫会社であります。実際にソフトを開発したのはGMOペイメントゲートウェイ(株)(ホームページはここ)であります。

情報流出の原因はGMOペイメントゲートウェイ(株)が利用したプログラムApache Struts2 の脆弱性にあったとのことです。Apache Struts2とは、APACHE Software Foundation(ホームページはここ)が提供している無償で利用できるオープン・ソース・プログラムです。

Apache Struts2の脆弱性については、GMOペイメントゲートウェイ(株)が3月9日の独立行政法人情報処理推進機構による発表・注意喚起により知る事となり、直ちに調査を開始して情報流出が判明した。

もし損害が発生したら、誰が最終的に責任をとるのでしょうか。Apache Struts2がオープン・ソース・プログラムなら、APACHE Software Foundationには責任はないと考える。クレジットカードのネット決済は、現代社会ならびに将来の社会において、なくてはならない存在です。安心してクレジットカードのネット決済が実施できるようにしないといけない。カード会社は(これは三菱UFJニコスですが)オンライン取引での不正利用であっても損害の補償をする。但し、不正利用がないか気をつけておく必要があると思うし、今回のケースのような場合は可能性があるカード情報は判明しているので、カード会社が新しいカードを発行すると思う。

しかし、カード会社は損害賠償権を持つ。今回の場合、東京都か、トヨタファイナンス(株)か、GMOペイメントゲートウェイ(株)か、どこに対して万一の場合、損害賠償を求めるか。また、この業者、このソフト会社についてはネット決済を認めないとすることもあり得ると思う。そのようにしてネット決済も進歩していくのだろうと思う。

|

« 原発ゼロについての一つの考察 | トップページ | GPS捜査についての最高裁判断 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: クレジットカードのネット決済での情報流出:

« 原発ゼロについての一つの考察 | トップページ | GPS捜査についての最高裁判断 »