2006年2月23日、2005年6月に発生した顧客情報の漏洩事件において米国連邦取引委員会(FTC)は、CardSystem Solution Inc.(2005年12月にPay by Touch Solutions.に買収されている)に対し、適切な顧客金融情報の保護を怠ったこと(結果として数百万ドルの詐欺的なカード決済が行われたこと)を理由に、安全対策の実施、今後20年間に亘る隔年の第三者機関による独立監査の実施等を含む「行政処分和解(案)」を公表した。
この記事は、わが国でも2月27日付け「IT Pro」などにすでに紹介されているが、FTCが和解条件とした本来のコンピュータ処理会社としての責任内容・漏洩の原因などについて説明がない。
そこで、監督機関であるFTCのリリースを中心に解説を加える。コンピュータ処理会社としての基本中の基本が守られていなかったといえよう。
FTCが公表した「行政処分(案)」の内容は以下のとおりである。なお、委員会では4-1で承認されたが、米国行政の一般ルールのとおり、同案はまもなく刊行される「連邦官報(Federal Register)」においてパブコメに付され(3月27日がコメント期限) 、その後に最終決定を行う。
1.CardSystemは、顧客から数百万ドルの民事訴訟を起こされる潜在的な責任を追う可能性がある。その背景には、正当な理由なしに顧客の金融取引機微情報を保有し、その結果、顧客を各種リスクにさらしたことである。
2.CardSystemは、2005年中に約2億1000万件のカード業務処理を請け負い、約11万9000先の中小小売企業に関して約150億ドルの決済取引にかかわった。その取引処理中で、同社は磁気ストライプの①カード番号、②有効期限、③その他の情報を収集し、それらを同社のネットワーク中に保管した。
3.CardSystemは、以下に指摘するとおり、顧客の機密情報保護のための適切な対策をとっていなかった責任がある。
(1)機微情報を保管することによる本来不要なリスクを発生させたこと。
(2) インジェクション攻撃(injection attack)に対する「Structured Query Language」(注) を含む、コンピュータネットワークへの一般的かつ合理的に予見すべき脆弱性についての調査を怠った。
(3)保有情報への簡単、安価かつ容易な防御対策を実装しなかった。
(4)ハッカーがコンピュータネットワークのコントロール権を入手することを放置し、ネットワークへのアクセスを防ぐ強力なパスワードを使用しなかった。
(5)個人情報へ無権限のアクセスを調査したり、セキュリティ調査にかかる十分な方策を採用していなかった。
4.今回の被害の発覚後、銀行はカードの無効化や数千枚のカードの再発行を行った。さらに消費者は、カードが使えない、なりすましの不安、時間的なロスを被った。
5.和解(案)の具体的内容は次のとおりとする。
(1) CardSystem およびPay By Touchは管理面、技術面および物理面の安全措置を含む包括的な情報セキュリティプログラムの確立し、その維持を行う。
(2)今後20年間、①第三者独立機関による監査、②標準簿記規則(standard bookkeeping provisions)および記録保存(Recordkeeping)規則を遵守する。
*******************************************************************************************
(注) IBM社が開発したデータベース操作用言語。リレーショナルデータベースの操作に使用する。アメリカ規格協会(ANSI)やJISで標準化されている世界標準規格。
〔参照URL〕
http://www.ftc.gov/opa/2006/02/cardsystems_r.htm
*********************************************************************
(今回のブログは2006年2月27日登録分の改訂版である)
****************************************************************************
Copyright © 2006-2010 芦田勝(Masaru Ashida).All rights Reserved.No reduction or republication without permission.
※コメント投稿者のブログIDはブログ作成者のみに通知されます