回答　はい、クレジットカードの番号、名義人名、有効期限、セキュリティコードが漏えいした場合、その情報が企業によって保持されていたことが考えられます。クレジットカード情報は、オンライン決済や定期的な支払いなど、あらゆるビジネスにおいて欠かせないものであり、多くの企業が顧客からの支払い情報を保存する必要があります。

　ただし、クレジットカード情報を保存することは、多くの国や地域で法的な規制があるため、保存できる期間や保存する情報の種類に制限が設けられています。企業は、適切な情報管理やセキュリティ対策を講じることで、漏えいを防止することが求められます。

情報セキュリティ上の適切な説明とはいえなさそう

　クレカ情報がセキュリティコード含め一式流出する事案が発生した場合には、ニュースに対して「情報を丸ごと保持していたのか？」という反応がよく見られる。その可能性も全くないとはいえないが、現在においては考えにくい。もしそんなことがあればもっとセンセーショナルに報じられることだろう。

　クレカ情報は非保持化が進んでいる。クレカ決済を利用する事業者はそもそも自社のシステムにクレカ情報を通さずに、直接決済代行会社に送ることが多くなっている。自社システムを通すならクレカ業界の国際基準「PCI DSS」に準拠する必要がある。

　決済の際にクレカ会社などの決済ページに移動させたり、入力された情報を決済代行会社に送るスクリプトを組み込むなどの対応が一般的だ。

　では、なぜクレカ情報が流出するのか。近年多いのは、攻撃者がECサイトに組み込まれた決済システムを改ざんして、入力されたクレカ情報を攻撃者の元に転送する手口だ。この方法なら、クレカ情報を保持していなくても盗まれる可能性がある。

　ECサイトに存在する脆弱性を突かれて決済システムが改ざんされることが多いため、脆弱性のチェックと修正が重要になる。

　──とすると、ChatGPTの説明が間違っていることが分かるだろう。「その情報が企業によって保持されていたことが考えられます」については、ありえなくはないがかなり考えにくい。「多くの企業が顧客からの支払い情報を保存する必要があります」に関してはむしろ保存するべきではない。

　なお、PCI DSSに準拠しているとしていた企業が、実際には監査機関に間違った情報を渡したため、適切な監査ができなかったという事案も存在する。ここまでの知識があれば、この事案がどれだけ“まずい”ことなのか分かるだろう。

脆弱性情報を隠匿、被害後の原因調査もなし……　クレカ情報漏えいのメタップス子会社に行政指導
経済産業省は、大量のクレジットカード情報を流出させたとして、クレジットカード決済システムを提供するメタップスペイメントに行政指導した。同社は情報セキュリティの監査において、脆弱性情報やシステム変更の事実を適切に共有していなかった。
「クレカ情報が漏えい」とする詐欺に注意　メタップス不正アクセス問題に便乗
メタップスペイメントの不正アクセス問題に便乗し、カード情報を盗もうとする詐欺メールやSMSが出回っているとして、ローソン銀行が注意喚起した。
セキュリティコードは「短期間保持していた」　メタップス不正アクセス問題の経緯を同社に聞く
メタップスペイメントで、データの保存が認められていないセキュリティコードを含むカード情報が流出した可能性がある。保存してはいけないはずのデータがなぜ流出したのか、メタップスペイメントに聞いた。
クレカ情報流出の恐れで謝罪企業続々　AKB、公共施設、赤十字、チケットサイトなど　メタップス不正アクセス問題
メタップスペイメントが不正アクセスを受け、カード情報最大46万件が流出した可能性のある問題に関連して、AKB48グループや公共施設、日本赤十字社、チケットサイトなどが、「情報流出の可能性がある」としてユーザーに対して謝罪した。