森永乳業のECサイトでカード情報2.3万件が漏えいか。セキュリティコードも流出の恐れ

森永乳業は5月9日、健康食品のECサイト「健康食品通販サイト」から顧客のクレジットカード情報約2万3000件が流出した可能性があると発表した。セキュリティコードも漏えいした懸念も明らかにしている。

5月9日現在、2017年1月10日～2018年4月24日の間にクレジットカードを使って商品を注文した約2万3000人分のカード情報が漏えいした可能性がある。

流出の懸念があるのはカード番号、名義、有効期限、セキュリティコード。

2018年4月24日、カード会社からカード情報が不正に使用されるといった被害が生じているとの報告を受け、同日にクレジットカード決済を停止。

第三者調査機関「Payment Card Forensics 株式会社」（PCF社）へ調査を依頼、4月25日から調査を始めた。5月末日までにPCF社から最終調査報告書を受領する予定。

EC業界におけるセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」（事務局は日本クレジット協会）は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面（EC）加盟店については原則として非保持化（保持する場合はPCI DSS準拠）を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP（決済代行会社）が提供するカード情報の非通過型（「リダイレクト（リンク）型」または「JavaScriptを使用した非通過型」）の決済システムの導入を促進するとしている。

2018年6月1日に施行される「割賦販売法の一部を改正する法律（改正割賦販売法）」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられた。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。