個人情報漏洩(米カード決済データの大量流出)



米国クレジット・カード与信業務アウトソーサーであるカードシステムズ・ソリューション社(以下CSS社)からの大量の顧客情報流出は、米国時間6月17日の事件公表後、連日の報道騒ぎとなっています。日本では、ありえないことが起きたという論調ですが、欧米では、もう少し冷静で「やはり起きた。」「カード会社も頑張ってはいるのだろうが、更に対策を強化しなくては。」というのがカード会社だけでなく、利用者にも共通の認識のようです。知人の話では、新聞の記事にはなっているが、日本のような大々的な報道ではないということです。

年間の被害額が1社で10億ドルとされる米国カード会社にとって、流出データ量は膨大なものの、実際の被害額はさしたることではないのでしょう。年間の被害総額が業界で250億円前後の日本でも、今回、判明している被害額は、全体の5%程度なのでカード会社の根幹を揺るがすほどのことはないという認識があるようです。ある大手カード会社が、そのような発言をある新聞にしたところ、途端に非難轟々となったということですが。日本人は、統計に弱いので仕方ありません。統計を知らなくては、リスク・ゼロの世界でしか生きられないのですが。マスコミ業界人の大半が算数に弱いということが遠因なのでしょうか?

カードの解約や再発行が大量に発生しているそうです。以前と違って、最近のクレジット・カードは、電話料金や駐車場代など定期支払いにも普及していますので、利用者にとっても支払い方法変更の手間は大変な負担でしょう。

今回の事件は、昨年9月に何者かがトロイの木馬を仕込み、200件に1件程度のデータをランダムに抽出して詐取したようです。今年の4月にマスターカードから不正検知モニタリングを受託している業者が、CSS社を共通項として認識し、マスター・VISA両社の専門家がCSS社システムを調査した結果、5月22日にスパイウェアの存在を確認したということです。マスターは、自社の不正検知体制がVISAに勝ったことと、対象利用者数が多いにも関わらず実被害が少なかった(恐らくモニタリングの成果)ことで、同社のカード犯罪対策の優秀性を強調できます。市場(?)では、アメックスの情報が1件40〜100ドル、マスターが30〜90ドル、VISAが30〜80ドルというのが相場と聞いています。供給量と反比例しているのでしょう。とはいえ、疑惑を持ってから、犯罪の特定までに1ヶ月以上を要したことは、この種の究明作業の難しさを表しています。日本ではどうなのでしょう?

犯人のIT技術は相当なものといえるでしょう。加えてカードを偽造して悪用した犯人は広範囲で相当な人数にのぼります。グループも一つではないでしょう。マーケットで情報を買ったということが容易に推測できます。あたかも一つの産業のようにバリューチェーンが構成されています。似たような事案が、今後も発生するでしょう。米国では、今回の事件をネタとしたフィッシングが出まわり出したそうです。日本の警察庁もHPで警告を発しています。こんなところにも便乗商法があるのかと、商売熱心さに感心していてはいけません。

クレジット・カードの場合は、カード会社が被害額を負担するとはいえ、利用者にもリスクはありますし、その後始末の手間を考えれば、安易にカードを作ることに慎重にならざるを得ません。要は、利用目的を明確にして使い分けるとともに、利用明細をこまめに確認するほかありません。大口の場合は、カード会社と携帯電話などで取引意思確認をするような仕組みも必要になるでしょう。昔、大企業のシステム要員が、給与計算プログラムを改ざんして、本人に気付かれない程度の金額を自分(仮名)口座に振りこむという事件がありました。小口とはいえ、数万人の社員から毎月のように、くすねていますと、合計では相当な金額になります。まさに、ITを活用した犯罪モデルだと感心したことがあります。これを数千万人相手に実行したら、儲かる商売(犯罪)になります。

米国のカード関連業務は、随分と分業され、アウトソーシングされているようです。昔は、TRW社など大手信用情報会社3社が、小切手やクレジットに関する取引履歴を1億人分近く保有しており、加盟店等からの問合せに対して、延滞や不払いの取引有無を回答し、実際の与信判断は加盟店リスクとしていました。加盟店やカード会社から料金を取りながら、利用者の取引履歴を蓄積でき、その数の多さが圧倒的な競争力になるというビジネス・モデルに目から鱗の思いをしたものです。(以来、DBビジネスは自動蓄積型に限ると確信しています。)今日では取引モニタリングや与信業務、バック事務などですら、分業化、外部委託化されています。それだけ、業者の事務処理能力・システム能力・専門知識が蓄積されているのでしょう。CSS社の場合は、契約義務に違反してデータ廃棄処分を怠ったこともあり、相当な損害賠償を請求されそうですが、簡単に代替できる企業は出てこないかもしれません。

先進国の金融関連規制当局がアウトソーシング先に対する検証強化を進めようとしています。しかし、カード業界ほどに分業化され、多層的にアウトソーシングされてしまった場合、何かあった場合の究明や対策には、技術的・実務的制約が多いでしょう。対策に時間がかかっている間に、犯罪者は稼ぐだけ稼ぎ、次の手を考えることでしょう。何とも複雑で難しいことになってきました。

この事件は、郵貯とプラスやシーラスとの国際ATM提携にも波紋を投げかけていると言います。

やたらと、提携で利用方法を拡大しないで欲しい気もします。国会の皆さんは、今度は何を立法化しようとするのか、それが楽しみです。やがては、カードなどによるネット・サービスは制度コストと犯罪コストで存続できなくなるかもしれません。