回答 はい、クレジットカードの番号、名義人名、有効期限、セキュリティコードが漏えいした場合、その情報が企業によって保持されていたことが考えられます。クレジットカード情報は、オンライン決済や定期的な支払いなど、あらゆるビジネスにおいて欠かせないものであり、多くの企業が顧客からの支払い情報を保存する必要があります。
ただし、クレジットカード情報を保存することは、多くの国や地域で法的な規制があるため、保存できる期間や保存する情報の種類に制限が設けられています。企業は、適切な情報管理やセキュリティ対策を講じることで、漏えいを防止することが求められます。
クレカ情報がセキュリティコード含め一式流出する事案が発生した場合には、ニュースに対して「情報を丸ごと保持していたのか?」という反応がよく見られる。その可能性も全くないとはいえないが、現在においては考えにくい。もしそんなことがあればもっとセンセーショナルに報じられることだろう。
クレカ情報は非保持化が進んでいる。クレカ決済を利用する事業者はそもそも自社のシステムにクレカ情報を通さずに、直接決済代行会社に送ることが多くなっている。自社システムを通すならクレカ業界の国際基準「PCI DSS」に準拠する必要がある。
決済の際にクレカ会社などの決済ページに移動させたり、入力された情報を決済代行会社に送るスクリプトを組み込むなどの対応が一般的だ。
では、なぜクレカ情報が流出するのか。近年多いのは、攻撃者がECサイトに組み込まれた決済システムを改ざんして、入力されたクレカ情報を攻撃者の元に転送する手口だ。この方法なら、クレカ情報を保持していなくても盗まれる可能性がある。
ECサイトに存在する脆弱性を突かれて決済システムが改ざんされることが多いため、脆弱性のチェックと修正が重要になる。
──とすると、ChatGPTの説明が間違っていることが分かるだろう。「その情報が企業によって保持されていたことが考えられます」については、ありえなくはないがかなり考えにくい。「多くの企業が顧客からの支払い情報を保存する必要があります」に関してはむしろ保存するべきではない。
なお、PCI DSSに準拠しているとしていた企業が、実際には監査機関に間違った情報を渡したため、適切な監査ができなかったという事案も存在する。ここまでの知識があれば、この事案がどれだけ“まずい”ことなのか分かるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR