Tweet

2013.5.31追記　読売オンラインで記事にしました。ちょっと長くなってしまったのですが、よろしければご覧ください。

クレジットカード流出事件の続報書きました／グローバルデータの情報流出に、深刻な三つの問題点 : YOMIURI ONLINE（読売新聞） http://t.co/Dwt1GQWK83

— 三上洋 (@mikamiyoh) May 31, 2013

「イモトのWiFi」でおなじみのグローバルデータが、大規模なクレジットカード流出事件を起こしました。
クレジットカード10.9万件、しかもネット決済で重要なセキュリティコード付き、さらに事態把握から発表までに1ヶ月以上かかるという不祥事です。
後ほど、Yomiuriオンラインの連載で記事を書きますが、掲載が遅れるため、こちらのメモ書きでまとめます（5/27 18時）。グローバルデータへの電話取材内容も書きます。

セキュリティコード・住所含むクレジットカード10.9万件流出

発表があったのは、2013年5月27日。GLOBAL DATAによるプレスリリースから、流出事件のアウトラインをまとめます。

流出件数は10.9万件、セキュリティコードも含む

最大146,701件のクレジットカード情報があり、同件数のお客様情報（①カード名義人名、②カード番号、③カード有効期限、④セキュリティコード、⑤お申込者住所）がありました。不正取得により流出しました件数はうち109,112件になり当該情報は、平成23年3月7日～平成25年4月23日にお申し込み頂きました、お客様の情報が対象となります。

お見事なぐらい、個人情報を紐付けした形で流出してしまっています。セキュリティコードとは、ネット決済などで使われる3桁のコードのこと。これが同時に漏れるのは非常にまずいです。

発覚は4/23、発表が5/27と大幅に遅れる

4月23日17時頃、当社の契約先である決済代行会社よりクレジットカード情報の流出懸念について連絡があり、同日直ちに、本サイトの申し込みの停止及びデータベースサーバー内のクレジットカード情報の削除を行い、その後はオンラインでのクレジットカード決済を停止いたしました。

4/23に情報がわかっていたが、全体像をつかむのに時間がかかり、発表されたのは1ヶ月以上すぎた、本日5/27でした。これについては、グローバルデータへの取材内容を後述します。

対象となるのは2年以内に使った人！要注意！

2011年の3/7から、2013年の4/24までに、グローバルデータを利用した方が対象。かなり長期間に渡るので、あなたも使っていないチェックしてください（実は筆者もこの期間に利用していますｗ）

平成23年3月7日～平成25年4月23日にお申し込み頂きました、お客様の情報が対象となります

グローバルデータ広報との一問一答（5/27 16時）

Q：クレジットカード番号だけでなく、セキュリティコードと住所まで同時に流出したというが本当か？
A：その通りです。

Q：なぜ自社サーバーに、クレジットカード番号・セキュリティコード・住所を紐付けて保存していたのか？（筆者注：この手の情報は自社サイトにおかないのが現在では一般的）
A：海外渡航者にWiFiをレンタルする業務を行なっている。決済額はお客様からの申し込み時点ではわからない。日本に帰国後に、空港のカウンターで決済する。申し込み時には決済できないので、クレジットカード番号を自社サーバーに保存していた。

Q:なぜ発表まで一ヶ月もかかったのか？
A：調査を依頼した会社の報告書を待っていた。途中の一次報告書では、情報が明確になっているとは言えなかったので、全貌がわかるまで発表しなかった。

Q：発表までの経緯を（プレスリリース＋電話での取材）
A：
・4月23日17時頃、当社の契約先である決済代行会社よりクレジットカード情報の流出懸念について連絡
・4月26日、PCFに調査を委託
・5月2日、一次報告書を受理
・5月7日、流出件数は7000件との報告
・5月21日、最終報告書を受理、流出件数は10.9万件に
・5月27日、リリースで発表

Q:一次報告書で発表しなかったのはなぜか？
A：5/7の一次報告書では7000件との事だったが、情報がはっきり掴めていないと思われたので、社内の判断で最終報告書を待った。他社さんでの流出事例でも、最終的な流出情報がわかってから発表した事例があるので、それがいいと判断している。またクレジットカード会社側の意向もあるので、弊社だけでは発表の時期を決められないという事情もある。

Q:不正利用の件数は？
A：把握しているのは172件。ただしこれは4月26日時点の数字である。被害額は、現在のところつかんでいない

Q：不正利用の件数、被害額が1か月後の今も把握できないのはなぜか？
A：決済代行会社からの情報と、クレジットカード会社からの情報が、遅れている。

Q：現在の状況は？
A：ネット上のクレジットカード決済を中止している。返却カウンターのみでの決済している。

流出件数の多さ、対応にもかなり疑問が

困ったことに、流出したクレジットカードによる不正利用の件数が、いまだにわからないのです。「172件」とのことですが、これは4月26日という、1ヶ月前の数字。しかも被害額もわかりません。クレジットカード会社側がデータを出さないという問題があるようですが、ユーザーとしては非常に困ります。

とりあえず、第一報をまとめました。セキュリティコードまで含んだ情報が漏れていること、発表までに1ヶ月かかっていること、さらに被害件数や被害額もわかっていないことは大きな問題のように思えます。
後ほど、Yomiuriオンラインの連載で記事を書きます。