　保有個人データへの配慮のなさをどれだけ大きな数字で世に知らしめることができるか競うレースで、新たな王者が誕生した。クレジットカードの決済処理を請け負っている米CardSystems Solutionsは、遵守すべきカード業界のセキュリティ規定をないがしろにしていたことを認めた。このような故意の規定違反を考えると、CardSystemsがどうしてまだカード決済処理業界にとどまっていられるのか、わたしには理解できない。

　これまでカード業界の大手の一部は、コンピュータセキュリティ上、もしくは警備上の失態が生じた場合に、個人情報漏えいの恐れがあると公表するのをカード会社の義務とするのは「得策でない」と米議会に訴えてきた。カード利用者はすぐにも通知の山に埋もれ、どうでもいいと思うようになってしまうだろうから、というのが彼らの主張だった。

　カード業界はまるで、この仮説を証明しようと思い立ったかのようだ。というのも、数カ月前から、うるさいほどこの手のアナウンスが続いている。そのすべてではないがほとんどは、個人の資産情報に漏えいの危険が生じた場合、それを公表することを義務付けた、カリフォルニア州法に従ったものだ。

　今のところはまだ、少なくともCardSystemsで今回起きた約4000万件のクレジットカード情報漏えいのような大事件であれば、世間もメディアも関心を注いでいる。

　もっとも、今後、これより少ない500万人分くらいの個人情報漏えいが起きたときの世間の反応となると、どうだか分からない。CardSystemsで起きた情報漏えいを公表したのはMasterCardだったが、このケースではすべての有名クレジットカードが危険にさらされた。Visaは、MasterCardがこの事件を公にしたことを、ちょっと腹立たしく思っているようだ。

　Visaは、自分たちは警察の捜査に協力しており、MasterCardがカード利用者に事実を伝えたことが捜査の妨げにならなければいいが、と話している。どうやらVisaは、何を優先すべきかが分かっていないようだ。

　わたしの考えでは、警察の捜査に協力しているため事実を言えないというのは、引責を先に延ばすための言い訳だ。MasterCardによると、CardSystemsはカード業界の現行のセキュリティ規定を守っていなかった。実際なかなか良くできているこの規定は、CardSystemsのような規模の会社で、昨年9月から適用されているはずだった。だがそれから半年、年間数百万枚ものカード情報を処理する会社が、この規定の一部を無視し、今や自ら規定違反を認めているのだ。

　支払いカード業界は、規定に違反した会社は業界から永久追放することもあり得るとしている。同業界が、自らの主張どおりセキュリティを真剣にとらえているなら、今回のような故意の規定違反を業界の姿勢表明の機会ととらえ、CardSystemsをカード決済処理業務から永久追放するはずだ。

　CardSystemsの社員の一部には気の毒だと思うが、同社が将来態度を改めると約束するなら軽い罰で済ませてやろうじゃないかといえるほどの哀れみはわかない。

　ところで、このコラムの掲載3日後の6月30日には、カード業界のセキュリティ規定が、カード情報処理に携わるすべての会社に適用開始される。カード情報を処理する会社は、CardSystemsのまねをせず、この規定に従うことだ。

　（筆者注：規定の設定者になることもあれば追従者となることもあるハーバード大学だが、同校はCardSystemsの一件については意見を表明していない。よって上記の主張はわたしの私見である。）

※本稿筆者スコット・ブラッドナーはハーバード大学の情報システムコンサルタント。