BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2014.03.28

カード会社からクレジットカード情報漏えい事件発生の通報があった場合は?

  • このエントリーをはてなブックマークに追加

契約するカード会社(アクワイアラ)から加盟店に対して「貴社のWebサイト(お店)でカード情報が漏えいしている可能性があるので至急調査してほしい」との連絡があることがある。おそらく加盟店側の担当者はこんな連絡がくると、たいてい面食らうことであろう。カード情報漏えい事件が起きたほとんどの加盟店の最初の反応は「まさか、自分のところでそんなことが起きることはないだろう」「何かの間違いでは?」となる。なお、このカード会社からの連絡は、漏えいした可能性のある加盟店と契約する決済代行事業者にいくこともある。

カード会社はどのように漏えいの状況を把握しているか?

カード会社は、大抵この連絡をする時点で、当該加盟店から漏えいしたカード情報が、不正に他の加盟店で利用されている状況を客観的情報から確認している。しかし、あくまで客観的な情報となるため、加盟店側でカード情報が漏えいしているかの実際の状況を確認してほしいという依頼を行っている。

ではカード会社がこの状況を、どのように特定しているか?カード会社もしくは Visa や MasterCard などの国際ブランドは24時間365日カードの不正利用を監視している。漏えいした可能性のある加盟店の特定は、不正利⽤された複数のカードが、特定の期間内に正規に使⽤された加盟店の集合情報から、なされているという。これらを Common Purchase Point(CPP)と呼ぶ。それらの情報から特定した加盟店に対して、実際に契約しているカード会社(アクワイアラ)を経由して、漏えいの可能性を連絡しているのである。

PCI SSCの認定機関による調査が必須に

前述の通り連絡した段階では、あくまで客観的な情報であるため、事件が発生している事実を、加盟店側のシステムのログや不正アクセス監視などの情報から確認する必要がある。そのため国際ブランドは、PCI SSCが認定するフォレンジック機関(PFI)が事件発生の事実を調査するというルールとなっている。調査を実際に行うPFIは、連絡があったカード会社(アクワイアラ)から何社か紹介されるか、PCI SSCのPFIリストのURLを教えられ、その中から加盟店は選択することになる。また、その調査費用は当該加盟店が負担するのが通例となっている。

PFIによるフォレンジック調査の目的は、カード情報漏えい事件の証拠収集と分析に加え、漏えいしたカード番号の特定にある。PFIは、漏えいしたカード番号をいち早く特定し、それらの情報を加盟店に報告する。当該加盟店は、カード会社や国際ブランドと連携し、カードの不正利用の拡大を防ぐという流れになる。

早期調査の受け入れが、早期の事業再開へ

なお一般的にカード会社からこの手の連絡があった場合には、かなりの確度で発生箇所である加盟店が特定できている状況であるといわれている。加盟店側は、調査費用の負担やカード取引の停止などの要因も絡まり、この時点で事件の発生可能性を認め、すんなりと調査を受け入れることが難しい。一方、早期に調査を受け入れることにより、前述の通りカードの不正利用監視が早期に強化され、被害の拡大を防ぐことが期待できる。

被害拡大の防止は、最終的には損害賠償事案となることを想定すると、加盟店の損害を縮小させることにつながるはずである。2013年に発生した幾つかのカード情報漏えい事の報道を客観視すると、早期の調査の受け入れとカード会社への協力的な体制が、加盟店の早期の事業再開につながっているケースが多いと感じる。これらの情報をカード会社からこの手の連絡があった際の加盟店側の方針の判断の参考としていただければ幸いである。

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加