決済代行サービスによるクレジットカード情報等の漏えいや不正利用にサービス事業者(ECサイト等)がとるべき対応

IT・情報セキュリティ

目次

  1. 決済代行サービスとは
  2. 決済代行サービスに関する情報漏えい事案
  3. 決済代行サービスにおける個人情報の取扱い
  4. ECサイト事業者が取るべき有事の対応(漏えい報告および通知)
    1. 対象事案
    2. 時間制限
    3. 報告・通知の内容と方法
    4. 報告・通知の主体
    5. 委託先が日本国外に所在する場合
  5. ECサイトがとるべき平時の対応(事前の漏えい防止策)
  6. おわりに

 昨今、クレジットカード情報をはじめとした、オンライン上での決済に関わる情報が漏えいする事案が相次いでいます。こうした事案が発生した場合、決済代行サービス事業者に原因があるケースでも、ユーザーは取引をしているECサイト等(委託元)に説明や対応を求めることが考えられます。

 本稿では、委託先である決済代行サービス事業者からの情報漏えいが発生した場合に、ECサイトなどのサービス事業者(以下、「ECサイト」)がとるべき対応とポイントについて、アンダーソン・毛利・友常 法律事務所 外国法共同事業の長瀨威志弁護士、井上乾介弁護士、吉田菜摘子弁護士が解説します。

凡例
  • 個人情報保護法/法:個人情報の保護に関する法律
  • 規則:個人情報の保護に関する法律施行規則
  • 「ガイドライン(通則編)」:個人情報の保護に関する法律についてのガイドライン(通則編)

決済代行サービスとは

 一般的に、決済代行サービスとは、ECサイトとクレジットカード会社等の決済事業者との間に立ち、審査や契約手続、売上入金管理を代行するサービスを指します。決済代行サービスを利用することで、ECサイトは、煩雑な事務処理手続の負担を回避しつつ、複数の決済手段を採用してビジネスを拡大できます。

決済代行サービス事業者と他事業者との関係

決済代行サービス事業者と他事業者との関係

 決済代行サービス事業者は、ビジネスモデル上、多数のECサイトから委託を受け、多種多様な決済手段に関する情報を取り扱うため、高いレベルの情報セキュリティが要求されます。具体的には、個人情報の取扱いに関する「プライバシーマーク」やセキュリティに関する「ISO 27001(ISMS認証)」の取得、クレジットカード情報の保護と安全を目的に策定された国際基準「PCI DSS」などの基準への適合が求められています。

決済代行サービスに関する情報漏えい事案

 決済関連の個人情報漏えい事案のうち、ECサイトの脆弱性または設定不備をついた不正アクセス事案は、比較的多く見られます。これに対し、ECサイトよりもセキュリティレベルが高い決済代行サービス事業者への不正アクセス事案の件数は多くありません。

 しかし、ひとたび決済代行サービス事業者からの情報漏えいが発生すれば、ECサイトのユーザー、ECサイト、クレジット会社という多くの関係者を巻き込んだ大きな被害になるという特徴があります

決済関連の個人情報漏えい事案の典型例

情報漏えい元 詳細
ECサイト 【脆弱性を利用した不正アクセス】
クレジットカード決済の接続方式としてリンク型(決済代行サービス事業者の決済画面に移動して決済処理を行う接続方式)を導入していたECサイト内のシステムの一部の脆弱性を利用した不正アクセスにより、偽の決済画面に誘導するようにシステムが改ざんされ、偽の決済画面を通じてクレジットカード番号、クレジットカード名義人名、有効期限およびセキュリティコードが漏えいした。

【設定不備を利用した不正アクセス】
サイト管理の委託先業者がサイトアップデートの際に不手際を起こし、外部アクセスが容易な状態にあったところに不正アクセスされ、カード情報等が漏えいした。
決済代行サービス事業者 【脆弱性を利用した不正アクセス】
決済データセンターサーバー内の脆弱性のあるアプリケーションに対して不正アクセスが行われ、クレジットカード番号、有効期限、氏名、電話番号、メールアドレス、住所および加盟店名等が漏えいした。

【設定不備を利用した不正アクセス】
サーバー更新時に一時的に外部からのアクセスを許可した際、設定を元に戻さずに放置したことにより、外部より不正アクセスを受け、加盟店の営業情報等(店名、連絡先、住所、売上振込先および営業対応履歴等)、当該決済代行サービス事業者の従業員の情報(氏名、役職および連絡先等)およびパートナー企業の情報(社名、担当者名、売上振込先等)が漏えいした。

決済代行サービスにおける個人情報の取扱い

 次に、決済代行サービスにおける個人に関する情報の取扱いを確認します。ここでは、顧客がECサイトのサーバー上に決済情報を入力し、それを決済代行サービス事業者へ伝送するデータ伝送型(API型)を例として紹介します。そのほかリンク型(画面遷移型)やメールリンク型などの場合は、顧客がリンク先の決済代行サービス事業者のサーバー上に決済情報を入力するため、ECサイトが自社のサーバー上に決済情報を保持しない点が異なります。

 まず、ECサイトはユーザー本人から氏名、住所、クレジットカード情報等、個人情報保護法上の「個人情報」に該当する(または該当し得る)情報を取得します(下記図①)。
 ECサイトは、これらの情報を検索可能な形で事業のために使用していることから、個人情報保護法の適用対象である「個人情報取扱事業者」に該当します 1。また、そのような検索可能な形で事業のために使用する個人情報は、個人情報保護法上の「個人データ」に該当します 2

 そして、ECサイトは「個人データ」である氏名、住所、クレジットカード情報を、決済代行サービス事業者に提供して、その取扱いを委託しています(下記図②)。

ユーザー、ECサイト、決済代行サービスの間における情報の流れ

ユーザー、ECサイト、決済代行サービスの間における情報の流れ

 個人情報保護法上、個人データを本人以外の第三者に提供する場合には、原則として本人の同意が必要です 3。しかし、委託に基づく取扱いについては、例外的に同意は不要です 4
 ただし、本人の同意を不要とする代わりに「委託元」には「委託先」を監督する義務が発生します 5。個人情報の漏えいを防止する措置も「監督」の内容に含まれます。

 また、個人情報取扱事業者は、個人情報保護法が定める要件を満たす個人情報の漏えいがあった場合には、個人情報保護委員会に報告し、本人に通知する義務を負います 6。これは、委託先で個人情報の漏えいがあった場合でも異なりません。
 以上の整理を前提に、ECサイト事業者が取るべき措置を、有事の対応と平時の対応に分けで説明します。

ECサイト事業者が取るべき有事の対応(漏えい報告および通知)

 委託先の決済代行サービス事業者における個人情報の漏えい事案では、漏えいが発生した委託先の決済代行サービス事業者が中心になって対応を行う場合が多くあります。
 しかし、個人情報の管理について本人に責任を負うのは、委託元であるECサイトですので、ECサイト側でも初動対応を含めた対応を積極的に行っていく必要があります

 まず、ECサイト側の初動対応としては、漏えいの発生を認識した時点で、内部の責任者にただちに報告するとともに、委託先の決済代行サービス事業者、およびクレジットカード会社と迅速かつ適切に情報を共有する連絡体制を整える必要があります。この点は、ECサイト側の事実関係の正確かつタイムリーな把握や、関係者間でのタイムラインの認識の食い違い防止の観点から特に重要になります。

 そして、ECサイトは、決済代行サービス事業者と緊密に連絡を取りながら、協力して事実関係の調査と原因の究明を行い、影響を受ける可能性のあるユーザーの人数や範囲等、漏えいが影響を及ぼす可能性のある範囲を特定していく必要があります。
 これらの作業と前後あるいは並行して、被害拡大を阻止するために、ECサイトにおけるクレジットカード決済の停止、場合によっては当該サイトを一時的に閉鎖することを検討することも必要です。

 また、決済代行サービス事業者で漏えいが発生した場合でも、ユーザーは取引をしているECサイトに説明と対応を求めてくることが考えられます。したがって、ECサイトの公表文等でユーザーを決済代行サービス事業者の問い合わせ窓口に適切に誘導することも検討すべきです。

 次に、初動対応の事実関係の調査の結果、漏えい事案が個人情報保護法上の報告対象事案に該当する場合には、それが決済代行サービス事業者で発生した場合でも、ECサイトが、個人情報保護委員会への報告および本人への通知に対応しなければなりません 7

 以上の初動対応、個人情報保護法上の報告・通知義務への対応について一定の目途がついた段階で、事実関係と原因の究明を行い、具体的な再発防止策とセットにした調査結果報告書を作成し、これに従った再発防止策を実施していくことが必要と考えられます。

対応を進めるにあたり整理すべき事項

対応 ECサイトが対応すべき事項
① 原因究明・被害拡大阻止のための初動対応
  • 委託先およびクレジットカード会社との連携および情報共有体制の確立(委託契約書の内容確認、担当チームの設立、連絡体制の確立等)
  • 決済の停止。必要であればサイトの閉鎖
  • 影響範囲の特定、原因究明(委託先が中心的に行う)
    ② 個人情報保護法上の報告・通知義務を含む対行政・顧客対応
    • 個人情報保護法上の報告・通知(経験のある弁護士への相談が望ましい)
    • 必要に応じて、警察および監督機関への報告等(同上)
    • 問い合わせ窓口の開設(委託先に窓口を集中させることも考えられる)
    • クレジットカード会社からの求償対応(委託先と過失割合に応じ負担)
    ③ 再発防止・信頼回復のための再発防止対応
    • 発生原因を含めた調査結果報告書の作成
    • 再発防止策の策定・実施
    • 委託先との契約の見直し(委託先選定基準、監督体制、有事の場合の責任の所在の明確化等の見直し)
    • 有事対応フローの改善、従業員教育等

     委託先からの個人情報漏えい事案において、ECサイト(などのサービス事業者)の法務部が求められる最も重要かつ負担の重い対応は、個人情報保護委員会への報告および本人への通知です。以下では、個人情報保護法に基づく報告・通知義務の概要について説明します。

    対象事案

     令和4年4月1日から施行された改正個人情報保護法の下では、以下の①から④までに掲げる事態のいずれかに該当する場合に、個人情報保護委員会への報告と個人への通知が義務付けられています 8

     クレジットカード番号を含む個人データが漏えいした場合は②に該当し、不正アクセスによる情報漏えいの場合には③、漏えいした個人データが関係する本人の人数が1,000人を超える場合には④に該当するため、委託先での漏えいは、報告・通知対象案件に該当する可能性が相当に高い類型であると考えられます 9

    時間制限

     まず、個人情報保護委員会への報告は、初期的な「速報」とより詳細な「確報」の2段階に分けられています。
     いずれも、報告・通知対象案件が発生したことを事業者が知った時点を起算点として、「速報」は概ね3~5日以内、「確報」は原則として「30日以内」(不正アクセスの場合には60日以内)に、個人情報保護委員会に報告を行う義務があります。
     他方で、本人への通知は「当該事態の状況に応じて速やかに」通知する義務があります。各手続の時間制限は以下の通りです。

    報告・通知の内容と方法

     個人情報保護法上、要求される個人情報保護委員会への報告、本人への通知の主な内容は、以下の通りです。

    報告・通知内容

    速報 確報 通知
    1 漏えい案件の概要
    2 漏えい個人データの項目
    3 漏えい個人データに係る本人の数 ×
    4 漏えいの原因
    5 二次被害またはそのおそれの有無および内容
    6 本人への対応の実施状況 ×
    7 公表の実施状況 ×
    8 再発防止のための措置 ×
    9 その他参考となる事項

     まず、個人情報保護委員会への報告のうち、「速報」の報告内容は、まだ初期的な段階であるため、「速報」を行う時点で把握している内容を報告すれば足ります 10
     これに対し、「確報」の報告内容は、時間制限内に、上記の事項をすべてカバーすることが求められます。仮に合理的な努力を尽くしたうえで、なおすべての事項を報告できない場合には、その時点で把握している内容を報告し、残りの事項が判明次第、報告を追完する必要があります 11

     なお、報告の方法は「速報」「確報」のいずれも、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行います 12

     次に、本人への通知が義務付けられる内容は、上記の通り、個人情報保護委員会への報告対象事項の一部にとどまっています。
     さらに、本人への通知は「本人の権利利益を保護するために必要な範囲」で行うものであるため、個人情報保護委員会への報告対象事項と同程度の詳しさである必要はありません 13

     また、本人への通知方法は法令上指定されていませんが、自社ホームページでの公表文の掲載に加え、電子メールまたは郵便で通知することが実務上一般的です。
     特にクレジットカード番号等の個人データの漏えい事案は、不正利用により甚大な財産的被害が生じるおそれがあるため、本人の権利利益保護の観点から速やかに本人に通知することが望ましいですが、不確定な情報の公開はいたずらに混乱を招くという判断から、実務上は委託先での調査完了のタイミングで委託先、クレジットカード会社および加盟店が足並みを揃えて公表文を掲載しています。

     ECサイトによる公表文の記載例は本稿末尾に掲載します。

    報告・通知の主体

     原則として、委託元であるECサイトと委託先である決済代行サービス事業者の双方が報告・通知義務を負います 14。ただし、決済代行サービス事業者が、委託元に当該事態が発生したことを通知した時には、個人情報保護法の条文上、委託先である決済代行サービス事業者は報告・通知義務を免除されます 15

     他方で、委託先が報告・通知をしたことによって、委託元の報告・通知義務は免除されません。これは、本人との関係で責任を負うのは、原則として委託元であるという発想に基づきます。したがって、委託元であるECサイトは、遅くとも決済代行サービス事業者から通知を受けた時点で、報告対象事態を知ったこととなり、速やかに報告を行わなければなりません 16

    委託先が日本国外に所在する場合

     決済代行サービス事業者が日本国外に所在する事業者である場合、ECサイトは、日本の個人情報取扱事業者として、報告・通知義務を負います。
     なお、委託先の国・地域での監督機関への報告義務や本人への通知義務を負うかは、管轄する国・地域および業務内容によるため、現地法の弁護士に相談し、当該国・地域の規制適用の有無を確認する必要があります。海外の規制は日本よりもタイトなスケジュールで報告を求める場合がある 17 ため、平時からこの点の確認をしておくことが肝要です

    ECサイトがとるべき平時の対応(事前の漏えい防止策)

     まず、ECサイトがとるべき平時の対応としては、①適切な事業者の選定、②委託契約の締結、③委託先における個人データ取扱い状況の把握が主な内容であり、漏えい防止に即した具体的な内容は以下の通りです18

    項目 具体的な内容
    適切な委託先の選定 委託先が第三者機関によるセキュリティ診断等を定期的に受けているか、サイバー保険に加入しているか等の確認
    委託契約の締結
    • 漏えい等の事案の発生時に備えた連絡体制等の確認
    • セキュリティ対策の具体的な方法や責任範囲の明確化
    • 委託先での個人データ取扱状況を適切に監督できる規定の挿入
    委託先における個人データ取扱い状況の把握
    • 委託先へのセキュリティ監査の実施および報告の要求
    • 契約書に記載されたセキュリティ対策の適切な実施の定期的確認

     特に、個人情報保護委員会が行った個人データの漏えい等報告を提出したECサイト運営事業者に対するアンケートによれば、個人データの漏えい等の事案が発生した原因として、委託先任せの姿勢をあげる事業者が過半数(59%)にも及んでいます 19

     したがって、ECサービス事業者が、①適切な委託先を選定し、②委託契約を締結したとしても、その後、取扱い状況の把握を事実上行っていない場合には、監督義務違反を問われる可能性が高まることを十分に注意する必要があります。

    おわりに

     個人情報保護法の改正に伴い、情報漏えい等が発覚した場合には今まで以上に迅速な対応が求められます。他方、サイバー攻撃の手法は日々高度化しており、完璧なセキュリティ対策など存在しないのが現状です。万が一の備えとして、平時から個人情報漏えい事案の他社事例を研究して対応フローを確立し、適宜弁護士等専門家のアドバイスを受けてマニュアルを作成するなど、万全の体制を整えることが重要です。


    ECサイトによる公表文の記載例

    公表文の記載例(Word版)は、こちらからダウンロードのうえご活用ください。


    1. 法16条1項、2項 ↩︎

    2. 法16条3項 ↩︎

    3. 法27条1項 ↩︎

    4. 法27条5項1号 ↩︎

    5. 法25条 ↩︎

    6. 法26条2項 ↩︎

    7. 法26条1項 ↩︎

    8. 法26条 ↩︎

    9. ガイドライン(通則編)3-5-3-1 ↩︎

    10. 規則8条1項 ↩︎

    11. ガイドライン(通則編)3-5-3-4 ↩︎

    12. ガイドライン(通則編)3-5-3-3 ↩︎

    13. たとえば、漏えいの原因について、個人情報保護委員会に報告したような詳細な内容ではなく、必要な内容を選択して本人に通知することで足ります。ガイドライン(通則編)3-5-4-3 ↩︎

    14. 法26条1項 ↩︎

    15. 法26条1項但書 ↩︎

    16. ガイドライン(通則編)3-5-3-5 ↩︎

    17. たとえば、GDPRが適用される場合には、侵害の認識から72時間以内に監督機関に通知し、過度に遅滞することなく本人に連絡する義務があります(GDPR33条および34条)。 ↩︎

    18. ガイドライン(通則編)3-4-4 ↩︎

    19. 個人情報保護委員会「ECサイトへの不正アクセスに関する実態調査」(令和4年3月16日) ↩︎

    この特集を見ている人はこちらも見ています

    無料会員登録で
    リサーチ業務を効率化

    1分で登録完了

    無料で会員登録する