仏壇・仏具のECサイトでカード情報が漏えいか、セキュリティコードも流出した可能性

創価学会専門の仏壇・仏具を取り扱う金剛堂は7月23日、運営する「金剛堂オンラインストア」が外部から不正アクセスを受け、顧客のクレジットカード情報3万830件が流失した可能性があると発表した。

流出した可能性があるクレジットカード情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。

2019年2月21日、一部のクレジットカード会社から、「金剛堂オンラインストア」を利用した顧客のクレジットカード情報の流出懸念について連絡を受け、同日、「金剛堂オンラインストア」でのカード決済を停止した。

第三者機関である「P.C.F.FRONTEO」（PCF社）に調査を依頼。PCF社の最終インシデント調査報告書によると、システムの一部脆弱（ぜいじゃく）性を狙った不正な改ざん（フォームジャッキング）が発見されたことから、顧客のクレジットカード情報が不正取得された可能性があることを確認した。

調査結果から、流出した可能性があるのは、2014年12月31日から2019年2月21日までに「金剛堂オンラインストア」においてクレジットカード決済で注文した顧客が対象となることが判明した。

「金剛堂オンラインストア」での電話注文および、「各金剛堂の実店舗」での購入に使ったクレジットカードについては、システムが異なるため流出していない。

すでに、クレジットカード会社と連携し、流出した可能性のあるクレジットカードよる取引のモニタリングを継続して実施、不正利用の防止に努めている。なお、顧客がクレジットカードの差し替えを希望する場合、カード再発行手数料は顧客に負担をかけないよう、金剛堂からクレジットカード会社に依頼している。

EC業界におけるセキュリティ対策について

経済産業省主導の「クレジット取引セキュリティ対策協議会」（事務局は日本クレジット協会）は、2017年3月8日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」において、EC事業者に対して2018年3月までにカード情報の非保持化、もしくは「PCI DSS準拠」を求めていく方針を掲げた。

カード情報の漏えいの頻度が高い非対面（EC）加盟店については原則として非保持化（保持する場合はPCI DSS準拠）を推進。EC加盟店におけるカード情報の非保持化を推進するため、PCI DSS準拠済みのPSP（決済代行会社）が提供するカード情報の非通過型（「リダイレクト（リンク）型」または「JavaScriptを使用した非通過型」）の決済システムの導入を促進するとしている。

2018年6月1日に施行された「割賦販売法の一部を改正する法律（改正割賦販売法）」では、クレジットカードを取り扱うEC事業者などに対して、「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務付けられている。

また、独立行政法人情報処理推進機構では不正アクセス対策についての資料をまとめており、「安全なウェブサイトの作り方」などを閲覧することができる。