決済代行サービスによるクレジットカード情報等の漏えいや不正利用にサービス事業者（ECサイト等）がとるべき対応

　昨今、クレジットカード情報をはじめとした、オンライン上での決済に関わる情報が漏えいする事案が相次いでいます。こうした事案が発生した場合、決済代行サービス事業者に原因があるケースでも、ユーザーは取引をしているECサイト等（委託元）に説明や対応を求めることが考えられます。

　本稿では、委託先である決済代行サービス事業者からの情報漏えいが発生した場合に、ECサイトなどのサービス事業者（以下、「ECサイト」）がとるべき対応とポイントについて、アンダーソン・毛利・友常 法律事務所 外国法共同事業の長瀨威志弁護士、井上乾介弁護士、吉田菜摘子弁護士が解説します。

決済代行サービスとは

　一般的に、決済代行サービスとは、ECサイトとクレジットカード会社等の決済事業者との間に立ち、審査や契約手続、売上入金管理を代行するサービスを指します。決済代行サービスを利用することで、ECサイトは、煩雑な事務処理手続の負担を回避しつつ、複数の決済手段を採用してビジネスを拡大できます。

　決済代行サービス事業者は、ビジネスモデル上、多数のECサイトから委託を受け、多種多様な決済手段に関する情報を取り扱うため、高いレベルの情報セキュリティが要求されます。具体的には、個人情報の取扱いに関する「プライバシーマーク」やセキュリティに関する「ISO 27001（ISMS認証）」の取得、クレジットカード情報の保護と安全を目的に策定された国際基準「PCI DSS」などの基準への適合が求められています。

決済代行サービスに関する情報漏えい事案

　決済関連の個人情報漏えい事案のうち、ECサイトの脆弱性または設定不備をついた不正アクセス事案は、比較的多く見られます。これに対し、ECサイトよりもセキュリティレベルが高い決済代行サービス事業者への不正アクセス事案の件数は多くありません。

　しかし、ひとたび決済代行サービス事業者からの情報漏えいが発生すれば、ECサイトのユーザー、ECサイト、クレジット会社という多くの関係者を巻き込んだ大きな被害になるという特徴があります。

決済関連の個人情報漏えい事案の典型例

決済代行サービスにおける個人情報の取扱い

　次に、決済代行サービスにおける個人に関する情報の取扱いを確認します。ここでは、顧客がECサイトのサーバー上に決済情報を入力し、それを決済代行サービス事業者へ伝送するデータ伝送型（API型）を例として紹介します。そのほかリンク型（画面遷移型）やメールリンク型などの場合は、顧客がリンク先の決済代行サービス事業者のサーバー上に決済情報を入力するため、ECサイトが自社のサーバー上に決済情報を保持しない点が異なります。

　まず、ECサイトはユーザー本人から氏名、住所、クレジットカード情報等、個人情報保護法上の「個人情報」に該当する（または該当し得る）情報を取得します（下記図①）。
　ECサイトは、これらの情報を検索可能な形で事業のために使用していることから、個人情報保護法の適用対象である「個人情報取扱事業者」に該当します ¹。また、そのような検索可能な形で事業のために使用する個人情報は、個人情報保護法上の「個人データ」に該当します ²。

　そして、ECサイトは「個人データ」である氏名、住所、クレジットカード情報を、決済代行サービス事業者に提供して、その取扱いを委託しています（下記図②）。

　個人情報保護法上、個人データを本人以外の第三者に提供する場合には、原則として本人の同意が必要です ³。しかし、委託に基づく取扱いについては、例外的に同意は不要です ⁴。
　ただし、本人の同意を不要とする代わりに「委託元」には「委託先」を監督する義務が発生します ⁵。個人情報の漏えいを防止する措置も「監督」の内容に含まれます。

　また、個人情報取扱事業者は、個人情報保護法が定める要件を満たす個人情報の漏えいがあった場合には、個人情報保護委員会に報告し、本人に通知する義務を負います ⁶。これは、委託先で個人情報の漏えいがあった場合でも異なりません。
　以上の整理を前提に、ECサイト事業者が取るべき措置を、有事の対応と平時の対応に分けで説明します。

ECサイト事業者が取るべき有事の対応（漏えい報告および通知）

　委託先の決済代行サービス事業者における個人情報の漏えい事案では、漏えいが発生した委託先の決済代行サービス事業者が中心になって対応を行う場合が多くあります。
　しかし、個人情報の管理について本人に責任を負うのは、委託元であるECサイトですので、ECサイト側でも初動対応を含めた対応を積極的に行っていく必要があります。

　まず、ECサイト側の初動対応としては、漏えいの発生を認識した時点で、内部の責任者にただちに報告するとともに、委託先の決済代行サービス事業者、およびクレジットカード会社と迅速かつ適切に情報を共有する連絡体制を整える必要があります。この点は、ECサイト側の事実関係の正確かつタイムリーな把握や、関係者間でのタイムラインの認識の食い違い防止の観点から特に重要になります。

　そして、ECサイトは、決済代行サービス事業者と緊密に連絡を取りながら、協力して事実関係の調査と原因の究明を行い、影響を受ける可能性のあるユーザーの人数や範囲等、漏えいが影響を及ぼす可能性のある範囲を特定していく必要があります。
　これらの作業と前後あるいは並行して、被害拡大を阻止するために、ECサイトにおけるクレジットカード決済の停止、場合によっては当該サイトを一時的に閉鎖することを検討することも必要です。

　また、決済代行サービス事業者で漏えいが発生した場合でも、ユーザーは取引をしているECサイトに説明と対応を求めてくることが考えられます。したがって、ECサイトの公表文等でユーザーを決済代行サービス事業者の問い合わせ窓口に適切に誘導することも検討すべきです。

　次に、初動対応の事実関係の調査の結果、漏えい事案が個人情報保護法上の報告対象事案に該当する場合には、それが決済代行サービス事業者で発生した場合でも、ECサイトが、個人情報保護委員会への報告および本人への通知に対応しなければなりません ⁷。

　以上の初動対応、個人情報保護法上の報告・通知義務への対応について一定の目途がついた段階で、事実関係と原因の究明を行い、具体的な再発防止策とセットにした調査結果報告書を作成し、これに従った再発防止策を実施していくことが必要と考えられます。

対応を進めるにあたり整理すべき事項

　委託先からの個人情報漏えい事案において、ECサイト（などのサービス事業者）の法務部が求められる最も重要かつ負担の重い対応は、個人情報保護委員会への報告および本人への通知です。以下では、個人情報保護法に基づく報告・通知義務の概要について説明します。

対象事案

　令和4年4月1日から施行された改正個人情報保護法の下では、以下の①から④までに掲げる事態のいずれかに該当する場合に、個人情報保護委員会への報告と個人への通知が義務付けられています ⁸。

　クレジットカード番号を含む個人データが漏えいした場合は②に該当し、不正アクセスによる情報漏えいの場合には③、漏えいした個人データが関係する本人の人数が1,000人を超える場合には④に該当するため、委託先での漏えいは、報告・通知対象案件に該当する可能性が相当に高い類型であると考えられます ⁹。

時間制限

　まず、個人情報保護委員会への報告は、初期的な「速報」とより詳細な「確報」の2段階に分けられています。
　いずれも、報告・通知対象案件が発生したことを事業者が知った時点を起算点として、「速報」は概ね3～5日以内、「確報」は原則として「30日以内」（不正アクセスの場合には60日以内）に、個人情報保護委員会に報告を行う義務があります。
　他方で、本人への通知は「当該事態の状況に応じて速やかに」通知する義務があります。各手続の時間制限は以下の通りです。

報告・通知の内容と方法

　個人情報保護法上、要求される個人情報保護委員会への報告、本人への通知の主な内容は、以下の通りです。

報告・通知内容

　まず、個人情報保護委員会への報告のうち、「速報」の報告内容は、まだ初期的な段階であるため、「速報」を行う時点で把握している内容を報告すれば足ります ¹⁰。
　これに対し、「確報」の報告内容は、時間制限内に、上記の事項をすべてカバーすることが求められます。仮に合理的な努力を尽くしたうえで、なおすべての事項を報告できない場合には、その時点で把握している内容を報告し、残りの事項が判明次第、報告を追完する必要があります ¹¹。

　なお、報告の方法は「速報」「確報」のいずれも、原則として、個人情報保護委員会のホームページの報告フォームに入力する方法により行います ¹²。

　次に、本人への通知が義務付けられる内容は、上記の通り、個人情報保護委員会への報告対象事項の一部にとどまっています。
　さらに、本人への通知は「本人の権利利益を保護するために必要な範囲」で行うものであるため、個人情報保護委員会への報告対象事項と同程度の詳しさである必要はありません ¹³。

　また、本人への通知方法は法令上指定されていませんが、自社ホームページでの公表文の掲載に加え、電子メールまたは郵便で通知することが実務上一般的です。
　特にクレジットカード番号等の個人データの漏えい事案は、不正利用により甚大な財産的被害が生じるおそれがあるため、本人の権利利益保護の観点から速やかに本人に通知することが望ましいですが、不確定な情報の公開はいたずらに混乱を招くという判断から、実務上は委託先での調査完了のタイミングで委託先、クレジットカード会社および加盟店が足並みを揃えて公表文を掲載しています。

　ECサイトによる公表文の記載例は本稿末尾に掲載します。

報告・通知の主体

　原則として、委託元であるECサイトと委託先である決済代行サービス事業者の双方が報告・通知義務を負います ¹⁴。ただし、決済代行サービス事業者が、委託元に当該事態が発生したことを通知した時には、個人情報保護法の条文上、委託先である決済代行サービス事業者は報告・通知義務を免除されます ¹⁵。

　他方で、委託先が報告・通知をしたことによって、委託元の報告・通知義務は免除されません。これは、本人との関係で責任を負うのは、原則として委託元であるという発想に基づきます。したがって、委託元であるECサイトは、遅くとも決済代行サービス事業者から通知を受けた時点で、報告対象事態を知ったこととなり、速やかに報告を行わなければなりません ¹⁶。

委託先が日本国外に所在する場合

　決済代行サービス事業者が日本国外に所在する事業者である場合、ECサイトは、日本の個人情報取扱事業者として、報告・通知義務を負います。
　なお、委託先の国・地域での監督機関への報告義務や本人への通知義務を負うかは、管轄する国・地域および業務内容によるため、現地法の弁護士に相談し、当該国・地域の規制適用の有無を確認する必要があります。海外の規制は日本よりもタイトなスケジュールで報告を求める場合がある ¹⁷ ため、平時からこの点の確認をしておくことが肝要です。

ECサイトがとるべき平時の対応（事前の漏えい防止策）

　まず、ECサイトがとるべき平時の対応としては、①適切な事業者の選定、②委託契約の締結、③委託先における個人データ取扱い状況の把握が主な内容であり、漏えい防止に即した具体的な内容は以下の通りです¹⁸ 。

　特に、個人情報保護委員会が行った個人データの漏えい等報告を提出したECサイト運営事業者に対するアンケートによれば、個人データの漏えい等の事案が発生した原因として、委託先任せの姿勢をあげる事業者が過半数（59％）にも及んでいます ¹⁹。

　したがって、ECサービス事業者が、①適切な委託先を選定し、②委託契約を締結したとしても、その後、取扱い状況の把握を事実上行っていない場合には、監督義務違反を問われる可能性が高まることを十分に注意する必要があります。

おわりに

　個人情報保護法の改正に伴い、情報漏えい等が発覚した場合には今まで以上に迅速な対応が求められます。他方、サイバー攻撃の手法は日々高度化しており、完璧なセキュリティ対策など存在しないのが現状です。万が一の備えとして、平時から個人情報漏えい事案の他社事例を研究して対応フローを確立し、適宜弁護士等専門家のアドバイスを受けてマニュアルを作成するなど、万全の体制を整えることが重要です。

ECサイトによる公表文の記載例

公表文の記載例（Word版）は、こちらからダウンロードのうえご活用ください。