メタップスペイメント、カード情報漏洩で個人情報保護委員会から指導
2022/07/26   情報セキュリティ, 個人情報保護法

株式会社メタップスペイメントは、２０２２年７月１３日付で、個人情報保護委員会より、個人情報の保護に関する法律第１４４条に基づく指導を受けたことを公表しました。今回は、個人情報保護法における規定を確認するとともに、同社が指導を受けた経緯について詳しく見ていくことにしましょう。

指導までの経緯

株式会社メタップスペイメント（以下「MP社」）は、株式会社メタップス（東証グロース上場）を親会社とする決済事業会社です。２０２１年８月２日から２０２２年１月２５日にかけて、MP社の決済データセンターサーバーに対し不正アクセスが行われ、①社内管理システムへの不正ログイン、②一部アプリケーションへのSQLインジェクション（アプリケーションに不正な命令を実行させる攻撃方法）、③バックドア（不正侵入するための裏口となる不正ファイル）の設置などの攻撃を受けました。

これらの一連の攻撃は、決済情報等が格納されているデータベースにまで達し、個人情報を含む、各種情報の外部流出に繋がったと言われています。

【流出した可能性があるとされる情報】
(1)トークン方式クレジットカード決済情報データベース
最大460,395件（カード番号・有効期限・セキュリティコード）

(2)決済情報データベース
・クレジットカード決済 2,415,750件（カード番号・有効期限）
※上記(1)の460,395件を含めた数字
・コンビニ決済 824,483件（氏名・電話番号・メールアドレス)
・ペイジー決済 170,435件（氏名・郵便番号・住所・電話番号）
・電子マネー決済 980,490件（メールアドレス）

(3)加盟店情報データベース
38件（加盟店名・加盟店コード）

個人情報保護委員会からの指導事項

MP社は決済代行業者として、加盟店を通じて一般消費者の決済情報を取り扱っているほか、加盟店から任意で提供を受けて多数の顧客の個人データについても恒常的に取り扱っている会社です。このような「個人情報を恒常的に取り扱う」という立場を踏まえると、MP社において“個人データの適正な取扱いの確保”について、組織としてより重点的に取り組む必要があるといえます。しかし、個人情報保護委員会によると、MP社において、以下の体制の不備が見られたとのことです。

(1)情報セキュリティ基本規程上では、個人データを含む自社が保有する情報資産について棚卸しを実施することとしていたはずが、実態は情報資産管理台帳の整備がされていなかったため、棚卸しが適切に実施されることなく、どのシステムにおいて情報資産を取り扱っているかすら把握していなかった

(2)個人データの取扱状況についての監査・点検を一部実施しておらず、その重要性に見合った取扱いを行っていなかった

(3)内部監査規程等における規程の外形は整備していた一方、これらを実行するための適切な人員配置が実質的に行われておらず、技術的安全管理措置を含む情報セキュリティに対する内部監査が機能していなかった

(4)不正侵入を検知した際のセキュリティアラートについての十分な検証がなされておらず、個人情報の保護に関する技術的安全管理措置の観点での対策が不十分であった

個人情報保護法第144条に基づく指導の内容

今回、個人情報保護委員会は、組織的安全管理措置として①経営層と従業者は、社内手続を通じるなどして個人データを取り扱っている範囲を把握し、全個人データについて定期的に棚卸しを行い、個人データの取扱状況についての監査・点検を実施すること②経営層は、技術的安全管理措置を含む情報セキュリティに対する内部監査に積極的に関与し、内部監査機能の強化を図ること、の２点が指導されました。また、技術的安全管理措置としては、技術的安全管理措置に関し、同社が既に策定した再発防止策を確実に実行することが指導として行われています。

コメント

MP社は今回の指導を受けて、顧客や取引先へのお詫びをするとともに、適切な改善策を講じることで信頼回復を図ることを目指しています。今後は策定した再発防止策の確実な実行が求められます。