7pay不正アクセス被害、企業に生じる危険性のあるリスク
2019/08/28   コンプライアンス, 民法・商法

１．はじめに

キャッシュレス化の波が押し寄せる中、コンビニ最大手の「セブン‐イレブン」が満を持してリリースしたキャッシュレスサービスは、リリース当日に不正アクセスの被害を被り、最終的には9月末でサービスの終了が決まりました。

今回の被害から、企業に発生しうるリスクについて探ります。

２．事案の概要

7月1日のリリースされた「セブン‐イレブン」のスマホ決済サービス「7pay（セブンペイ）」で、一部のアカウントが第三者による不正アクセスにより、登録されたクレジットカード等からチャージされ、買い物に使われるという被害が生じました。

セブン＆アイ･ホールディングスによると、7月31日時点で被害者は808人、被害額は約3800万円にのぼるということです。

　これを受けて同社ではセブンペイのログイン停止やパスワードリセットなどを実施し、発生原因の調査等を行っていました。しかし、8月1日、サービスが9月1日に終了されることが決定･発表されました。

３．企業に発生しうるリスク

企業の提供しているサービスのIDやパスワードなどに不正アクセスがあり、情報が漏洩した場合、企業は以下のようなリスクを負うことが考えられます。

●個人情報保護法違反

　個人情報保護法とは、個人情報の適切な取扱いについて定めた法律で、個人情報を取り扱うすべての事業者が、同法の対象となります。

　そもそも、同法の定義する「個人情報」とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日などにより特定の個人を識別することのできるもの（他の情報と容易に照合することが出来て、特定の個人を識別できることになるものを含む。同法2条1項1号）、および、身体の一部の特徴をデータ化した文字、番号、記号その他の符号や、サービスの利用者や個人に発行される書類等に割り当てられた文字、番号、記号その他の符号のうち政令で定めるもの（個人識別符号。同項2号、同条2項）をいいます。

　この点、個人の設定したパスワードや与えられたIDは、その情報をもとに個人を識別できるものといえるため、「個人情報」に当たります。

　そして、企業には個人情報を適切に管理する義務が課されているところ、個人情報が漏洩するなどして個人情報保護委員会からその義務違反が認定された場合、その企業は同委員会から是正命令・改善命令を受けることになります（同法42条）。

一方、罰則は、上記是正命令等がなされているにもかかわらず、義務違反があった場合に違反した従業員や企業に科されるとされていますが、不正な利益を得る目的での個人情報の漏洩は勧告等がなくとも罰則が科されることになります（同法82条以下）。

参考：小規模事業者や自治会・同窓会もすべての事業者が対象です。これだけは知っておきたい「個人情報保護」のルール/政府広報オンライン

参考：個人情報保護法の概要/東京都

●民事損害賠償

　民事上の責任として、企業は個人情報の漏洩行為について、被害者から不法行為による損害賠償（民法709条）請求訴訟を提起されることが考えられます。

また、損害賠償請求がなされない場合でも、企業が謝罪金や見舞金などを被害者に支払うことが考えられ、下記の個人情報流出事件のように多額の謝罪金が支払われた例もあります。

　損害賠償額（慰謝料＋弁護士費用）については、一人当たりおよそ1万円程度が相場と言われていますが、3万5千円の支払いを命じた事件もあります。

謝罪金については、一人当たり500円～1000円程度と言われています。

参考：個人情報流出の慰謝料相場は一人いくら？/発想の達人

●不正アクセス禁止法

不正アクセスは外部から行われる場合だけでなく、内部から行われる場合も考えられます。

不正アクセス禁止法では、アクセス管理者等の承諾のないアクセスなどを「不正アクセス」としており（同法2条4項）、不正アクセス自体や不正アクセスを行う目的での情報提供・パスワード保管等について罰則を科しています（11条以下）。

この場合、不正アクセスを行った従業員を雇用している企業は、使用者責任（民法715条）による損害賠償請求訴訟を提起される可能性が考えられます。

参考：不正アクセス禁止法とは？事例・判例から通報対策まで徹底解説/サイバーセキュリティ．com

４．個人情報流出事件のリーディングケース

　個人情報流出事件のリーディングケースとしては、ベネッセコーポレーション個人情報流出事件があります。

　これは平成25年12月ころから、同社の従業員が顧客情報を持ち出して、転売していたという事件で、平成26年（2014年）6月ころに明らかとなりました。

漏洩したのは進研ゼミなどの顧客情報（登録している子供や保護者の氏名、住所、生年月日等）で、最大約2070万件漏洩された可能性があるとされました。

　この事件において、ベネッセには個人情報に関する安全管理措置義務違反（個人情報保護法20条）や委託先の管理監督義務（同法22条）の違反があると認定され、経産省は違反行為を是正するために必要な措置をとり、情報流出の再発防止を徹底するように勧告をしました。

　同社はこのほか、謝罪金とセキュリティ対策費・謝罪広告費など合わせて200億円以上の損失を被ったといわれています。

参考：個人情報保護法違反とは？法律の概要と事例をわかりやすく解説/ネット誹謗中傷弁護士相談Cafe

５．まとめ

　今回の被害では、株式会社セブン･ペイの小林強社長が二段階認証についてあいまいな回答を行ったため、リリース前のセキュリティ管理が問題視されています。

個人情報の取扱いは、一度誤れば取り返しのつかない事態となり、企業の業績に大きな影響を与えることが考えられます。法務担当者としては、このような被害を防ぐために個人情報の管理体制の構築を徹底していくことが求められると思われます。

　この点、個人情報保護法については2017年5月に改正され、上記の「個人情報」要件を含め、多くの点が変更になりましたが、3年ごとの見直しにより2020年に改正が予定されています。

参考：（PDFファイル）個人情報保護法 いわゆる３年ごと見直しに係る検討の中間整理(案)/個人情報保護委員会

そのため、上記のようなリスクを回避するためには、現行法で求められる措置をとるだけでなく、改正される法律の動向にアンテナを張り、施行後いち早く対応できるための管理体制構築を進めることが望ましいといえます。