クレジットカード情報保護の現状と課題
日本クレジット協会では、加盟店に対して「カード情報を保持しない非保持化(非保持と同等/相当を含む)、又はカード情報を保持する場合はPCI DSSに準拠する」ことを求めている。
カード情報を保持する場合の「PCI DSS」とは、カード会員データを保護するためのガイドラインだ。ネットワークセキュリティ、データ保護、脆弱性管理、アクセス制御、モニタリングとテスト、情報セキュリティポリシーの維持管理など、多岐にわたる要件が定められている。しかし、これらの要件を満たすには相当の技術力とリソースが必要となるため、規模の小さなECサイトでは自前での整備が難しいのが現状だ。
一般社団法人日本クレジット協会のホームページ 拡大画像表示
このため、多くのECサイトは非保持化を選択することになる。しかし、この「非保持化推奨」が、一部で誤って解釈されている可能性がある。「保持さえしなければ顧客のカード情報が漏れることはない」という誤った認識が、今回のような事態を招いた一因とも考えられるのだ。しかし、「保持していなければ大丈夫」ではないことは、今回のタリーズの件を見れば明らかだ。
カード情報が漏れてしまったとき、個人ができる具体的な防衛策は?
この記事を読んでいる方の中には、タリーズ オンラインストアや他のECサイトで情報漏えいの被害に遭ってしまった人がいるかもしれない。もし、自分の個人情報が漏れている可能性がある場合、できることはいくつかある。
(1)冷静に状況を把握する
もっとも必要なのは、これだ。パニックは事態を悪化させかねないし、逆に無視もよくない。まずは通知をよく読み、何の情報が漏えいしたのか確認しよう。通知が本物かどうかもチェック。漏えいしたメールアドレスや電話番号宛てに、フィッシング詐欺のメールやSMSメッセージが届くことがある。その目的は、悪意のあるリンクを作り出し、クリックさせ、個人情報を盗むためだ。
(2)被害拡大を防ぐ
クレジットカードの情報漏えいであったらクレジットカードの利用履歴、銀行口座をチェックし、不審な取引がないか確認する。
(3)漏えいしたIDとパスワードを、もし他でも使っていたら変更する
ダメだと分かっていても、同じパスワードを使い回している人もいるかもしれない。漏えいしたサイトで使っているIDやパスワードを他のサイトでも使っている場合は非常に危険だ。急いで別のものに変更を。
(4)クレジットカードを継続監視
漏えいしたサイトで使っていたクレジットカードや口座のチェック、PCやスマホに不審なメールが来ないかなどを、しばらくの間特に気をつけて確認する。特に、クレジットカードに覚えのない請求が来ている場合は、できるだけ速やかに(遅くとも引き落とされる前には)カード会社に連絡をするのが大切だ。
(5)クレジットカードに本人認証サービスを設定
カード番号+セキュリティコードだけで決済ができないように、本人認証サービスを設定しよう。特に「ワンタイムパスワード」、SMSによる認証や、Authenticatorといったアプリの使用を必須にするのはお勧めだ。これならどんなに情報を取られようと、クレジットカードを不正使用することはできなくなるからだ。
本人認証サービス(ワンタイムパスワード)の設定を勧める、クレジット協会のページ。携帯電話がないとクレジットカードが使えなくなるという煩わしさはあるものの、本人確認しないと使えなくなるという意味ではこの対策は非常にお勧めだ 拡大画像表示
(6)セキュリティの強化
セキュリティ対策ソフトを入れていない場合は、この機会に総合対策ソフトを導入するのもいいだろう。ページ内に典型的な不審スクリプトが仕掛けられている場合などは、対策ソフトが警告してくれるケースもある(過信は禁物だが)。
今回のタリーズの事例は、ECサイトのセキュリティ対策における新たな課題を浮き彫りにしたといえる。事業者側には、より包括的なセキュリティ体制の構築が求められる一方、利用者側も、自身の情報を守るための積極的な対策が必要だ。被害を被る前に、ここに書いた対策をしっかり取ってほしい。
