JR九州のECサイトでカード情報など7996件漏えいの可能性、セキュリティコードも流出

九州旅客鉄道（JR九州）は4月12日、寝台列車「ななつ星 in 九州」の関連商品を扱うECサイト「ななつ星 Gallery」から、クレジットカード番号を含む顧客の個人情報が最大7996件流出した可能性があると発表した。

ECサイトのシステムの脆弱（ぜいじゃく）性を狙った、第三者による外部からの不正アクセスがあったという。

個人情報が流出した可能性があるのは、2013年10月5日（サイト開設日）から2019年3月11日までに同サイトを利用した顧客。

クレジットカード決済を利用した顧客のカード番号やセキュリティコードのほか、会員登録した顧客の個人情報やパスワードも流出した可能性が高いという。

クレジットカード情報を登録した顧客は、「カード番号」「有効期限」「セキュリティコード」「氏名」「住所」「郵便番号」「電話番号」「FAX番号」「性別」「生年月日」「メールアドレス」「職業」「パスワード（暗号化処理済）」「秘密の質問の答え（暗号化処理済）」が流出した可能性がある。流出した可能性がある件数は最大3086件（2816人）。

会員登録のみで、クレジットカード情報を登録していない顧客は、「氏名」「住所」「郵便番号」「電話番号」「FAX番号」「性別」「生年月日」「メールアドレス」「職業」「パスワード（暗号化処理済）」「秘密の質問の答え（暗号化処理済）」が流出した可能性が高い。対象は最大3148人。

このほか、海外から同サイトを利用した顧客や、「ななつ星in九州」に乗車して配送限定品を購入した顧客などの「氏名」「住所」「郵便番号」「電話番号」も流出した可能性があるという。

JR九州は2019年3月11日、クレジットカード情報が流出した可能性があると、決済代行会社から連絡を受けた。同日サイトを閉鎖し、第三者調査機関に調査を依頼。3月28日、調査報告書で情報漏えいを確認したという。

JR九州は「ななつ星 Gallery」などのシステムのセキュリティ対策と監視体制を強化するとしている。「ななつ星 Gallery」の再開については、決定次第ホームページ上で発表する予定。

EC業界におけるセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」（事務局は日本クレジット協会）は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面（EC）加盟店については原則として非保持化（保持する場合はPCI DSS準拠）を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP（決済代行会社）が提供するカード情報の非通過型（「リダイレクト（リンク）型」または「JavaScriptを使用した非通過型」）の決済システムの導入を促進するとしている。

2018年6月1日に施行された「割賦販売法の一部を改正する法律（改正割賦販売法）」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。