経産省 サイバー攻撃被害の会社に異例の改善命令 対策に不備

ことし2月、サイバー攻撃を受けて最大46万件余りのクレジットカードの情報が流出した可能性があると発表した決済代行サービス会社に対して、経済産業省は、セキュリティー対策が不十分だったとして再発防止などを求める改善命令を出しました。サイバー攻撃の被害をうけた会社に「セキュリティー対策の不備」を理由に、改善命令が出されるのは異例のことです。

クレジットカードなどの電子決済を代行するサービスを提供している「メタップスペイメント」は、会社のシステムが不正アクセスを受け、クレジットカードの番号やセキュリティーコードなどの情報、最大46万395件が流出したおそれがあると、ことし2月に発表しました。

これを受け、経済産業省は、会社が不正アクセスの検知や防御対策などの基本的なセキュリティー対策を実施していなかったとして、再発防止策の策定や経営責任の明確化などを求め、割賦販売法に基づく業務改善命令を6月30日付けで出しました。

サイバー攻撃の被害をうけた会社に「セキュリティー対策の不備」を理由に改善命令が出されるのは異例のことです。

経済産業省によりますと、会社は、内部調査で社内システムのセキュリティーに「脆弱性が高い」という結果が出ていたにもかかわらず、その結果を改ざんして審査機関に報告し、クレジットカード情報を扱う会社に求められる国際的なセキュリティー基準を満たしているという認定を受けていたということです。

メタップスペイメントは「行政処分を真摯かつ厳粛に受け止め、改善措置を速やかに講じて参る所存です」とコメントしています。