ニュース
» 2017年03月14日 08時00分 UPDATE

半径300メートルのIT:GMO子会社のクレカ情報漏えい事件、“褒められる対応”を考えた (1/2)

約70万件の情報が漏えいしたとみられるGMOペイメントゲートウェイの不正アクセス事件。100%情報漏えい事故を防ぐことはできない時代、事件を起こした企業がすべき“褒められる対応”を考えてみました。

[宮田健,ITmedia]
Photo

 また、情報漏えい事故が起きました。

 東京都税の指定代理納付者であるトヨタファイナンスが、再委託業者であるGMOペイメントゲートウェイにサイト運営を委託していた「東京都の都税クレジットカードお支払サイト」で不正アクセスが発覚し、クレジットカード番号やセキュリティコード(CVV)を含む情報が外部に漏えいしました。

 この記事を執筆している時点では、まだ第1報しか出ていない状況ですが、67万件以上の情報が漏えいしたと発表されているので、対象となる人は引き続き情報をチェックしてください(編注:その後住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトでも4万件を超えるクレジットカード番号や個人情報が流出した可能性があることが発表されました)。

 また、クレジットカードを利用している人は、本件の対象者でなくても「定期的に明細をチェックする」習慣を付けましょう。最近ではスマートフォンアプリを通じて、プッシュ通知として受け取れます。これなら、すぐに確認ができるので便利ですよ。

私たちが注目すべきはむしろ「事故のあと」

 今回の漏えい事件は「税金」を扱っていたこともあり、多くのメディアが取り上げていますが、世論は冷めやすく、事件はすぐ忘れられがちです。でも、本当に大事なのは、“事件を起こしたこと”ではなく、“なぜ、事件が起こったか”。私たちはむしろ、GMO子会社の今後の動向に注目すべきなのです。

 例えば漏えい事故を起こした企業が、「注目されている期間だけ逃げ切れば、すぐに忘れられるはず」という意識だったとしたら、セキュリティに投資など不要だという考え方につながってしまう可能性があるのです。

 企業がサイバー攻撃の事件や事故に巻き込まれてしまったら、発生した経緯を発表し、どのように攻撃されたのかを詳細に記すことが重要です。これらの情報は、きっと同様のソフトウェアを利用する企業や、似たような情報を持つ同業他社への「防御のヒント」になるはず。しかし、「事故を起こしても逃げればいい」と思って情報を公開しなかったら、防げる事故も防げません。

 こうした暗い未来を迎えないためにも、「事故を起こしたこと」と「詳細な報告を行い、正しい事故対応を行ったこと」は区別して考えるべきなのです。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ