個人情報保護法が求めるクレジットカード番号漏えい時の対応

個人情報保護法において、ある情報が個人情報に当たるかどうかを判断する際の根拠となるのが「容易照合性」である。ほかの情報と容易に照合することができ、それにより特定の個人を識別できるかどうかということだ。例えば、企業が独自に採番している顧客コードだけでは個人の識別は不可能だが、顧客コードと顧客名の対応表があれば容易に個人を識別できる。その情報が個人情報に該当するかどうかは、容易照合性の要件によって事業者ごとに判断される。この観点で「カード番号が個人情報に該当するか」を考えてみよう。

カード発行会社では、カード番号から会員の氏名、住所などの個人情報を照合することは容易だ。このため、カード発行会社にとってカード番号は個人情報となる。しかし、カード発行会社以外では、カード番号だけでは個人を識別できない。したがって、カード発行会社以外の事業体にとっては、カード番号のみの場合は個人情報とは見なされない。

ただし、カード情報が外部に流出する際に、カード番号だけが漏えいすることはほとんどない。大半の事件では、氏名や住所など個人を識別できる情報も同時に流出している。容易照合性の要件に基づけば、明らかに個人情報ということになる。カード会員名の表記がローマ字であっても個人を識別できるので個人情報と見なされる。

個人情報保護法では「個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、速やかに報告するよう努めること」としている。ただし、報告する必要がない場合として「漏えいした情報が高度に暗号化されている」「自社以外で当該情報により特定の個人を識別できない」などが定められている。つまり、加盟店からカード番号と利用履歴（いつ、どこで、何を購入したか）だけが漏えいした事案の場合は、カード発行会社
以外は個人を識別できないため、個人情報保護法の観点では報告の必要はないと考えられる。

個人情報保護法において、個人情報に当たる情報が漏えいした場合の届け出は、カード会社とそれ以外（加盟店やサービスプロバイダー）で異なる。加盟店やサービスプロバイダーに対しては、届け出を努力義務としており、任意である。ただし、ウェブサイトなどで漏えいの事実を公表する場合は、「重大な影響が生じえると判断された事案、公表（予定を含む。）事案等の急を要する報告」として、漏えい件数の多少にかかわらず事前に個人情報保護委員会に電話で連絡した上で、ファクスで報告しなければならない。

一方、割賦販売法では、加盟店の管理は加盟店契約会社の責任としている。クレジットカード番号の流出が発覚した場合、またはその疑いがある場合は、速やかに加盟店契約会社に報告しなければならない。

届け出の書式については、個人情報保護委員会のウェブサイト（https://www.ppc.go.jp/personal/legal/leakAction/ ）で公開されている。届け先は原則として個人情報保護委員会となるが、以下の場合は届け先が異なる。
▽ 認定個人情報保護団体の会員の場合
当該認定個人情報保護団体
▽ 報告徴収・立ち入り検査の権限が委任される分野
別途定められた届け先（https://www.ppc.go.jp/personal/legal/kengenInin/）
日本クレジット協会（JCA）は、認定個人情報保護団体となっている。このため、JCAに加入している加盟店の届け先はJCAとなる。JCAに加盟していない加盟店やサービスプロバイダーなどの届け先は、個人情報保護委員会、または加入している認定個人情報保護団体となる。認定個人情報保護団体の名称および連絡先は、個人情報保護委員会のウェブサイト（https://www.ppc.go.jp/personal/nintei/list/）で公開されている。
一方カード会社に対しては、『信用分野における個人情報保護に関するガイドライン』（https://www.ppc.go.jp/files/pdf/shinyou_GL.pdf）において、認定個人情報保護団体または経済産業省への届け出が義務付けられている。JCAに加盟しているカード会社であれば、届け先はJCAとなる。ただし割賦販売法では、カード番号を含む個人データが漏えいして二次被害が発生する可能性が高い場合や、発生規模が大きい場合は、経済産業省の商取引監督課にも速やかに報告する必要があるとしている。
なお、個人情報保護法では、個人情報の漏えいに対する罰則規定はない。ただし、届け出や通報によって個人情報の漏えいが発覚した際には、個人情報保護委員会による報告および立ち入り検査（個人情報保護法第40条）、指導および助言（同第41条）、勧告・命令（同第42条）が行われる。報告を求められたのに怠った場合や虚偽の報告を行った場合は30万円以下の罰金、命令に従わない場合は6カ月以下の懲役もしくは30万円以下の罰金となる。

（共著：ｆｊコンサルティング代表取締役CEO　瀬田陽介
PCI Security Standard Council　アソシエイト・ダイレクター　日本　井原亮二）

※出所：書籍『改正割賦販売法でカード決済はこう変わる』（日経BP社、2018年4月発行）から著者および出版社の許諾を得て転載

    ■書籍の詳細はこちら（日経BP社）：改正割賦販売法でカード決済はこう変わる
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス