決済サービスの提供を行うメタップスペイメント(東京都港区)に、不正操作により約46万件の決済情報流出の可能性が浮上した。流出情報の中には同社サービスの加盟店である賃貸仲介会社で決済した案件も含まれる。
不動産会社にもリスク賃貸仲介のクレカ決済も対象か
原因は不正操作
同事件は2021年12月14日にカード会社からの指摘により不正アクセスの可能性が浮上。第三者調査の結果、SQLインジェクションというデータベースに対する不正操作により、メタップスペイメントのサービスでクレジット決済を行ったカードのカード番号、有効期限、セキュリティーコード情報が流出したことがわかった。
正確な情報流出数は不明。ただ、バックドアと呼ばれる情報の持ち出しが可能な「裏口」の設置がされたとみられる21年10月14日から、クレジット決済を停止した22年1月25日までの間の決済件数46万395件の情報が流出した可能性がある。また、現時点では決済情報の内訳も明確に特定できていないため、賃貸仲介会社で行われた決済件数も不明だ。
同社は不動産会社約2000店舗と提携し、賃貸仲介時の初期費用などの支払いのサービスを提供していた。
現場と認識に差
情報流出が起こった原因は、不正アクセスを防ぐためのセキュリティがなされていなかったことにある。決済情報を取り扱う企業の多くはクレジットカード業界のセキュリティー基準であるPCI DSS準拠という認定を受ける。同社も認定は受けていたものの、不正アクセスに対するセキュリティーが行われていなかった可能性が高いという。
地井良太取締役は「上層部では対策は当然なされていると認識していたが、現場での重要性が浸透していなかった」と説明する。 (國吉)
不動産会社にもリスク
弁護士法人みお綜合法律事務所(大阪市)神戸支店に所属し、情報漏えい問題などに詳しい石田優一弁護士は「メタップスペイメントで発生したSQLインジェクションによる不正アクセスは珍しいことではない。電子化サービスが普及する不動産業界でも起こりうる」と話す。
過去にはシステムの開発会社の責任が認められた裁判例があり、メタップスペイメントの法的責任が問われる可能性はあるという。
事業者が情報漏洩を発生させた場合、その事業者は損害賠償責任(民法709条・415条)を負うケースがある。裁判例の傾向的に、個人情報の漏えいに対して損害賠償責任を負うかどうかについては、「個人情報の保護に関する法律についてのガイドライン(通則編)」に示される安全管理措置が講じられていたかが判断の要素となる場合が多い。
不動産業界においても、顧客の個人情報を取り扱う場面は多い。そのため安全管理措置を怠ると、万が一情報漏えいが発生した際に損害賠償責任を問われるおそれがある。
弁護士法人みお綜合法律事務所
大阪市
石田優一弁護士(34)
(2022年4月4日24面に掲載)