ECサイトからクレカ情報が流出、被害1.4万件超
こんばんは。
ちょっと、今日は時間がなかったので、短めの記事で失礼します。
本日の日経新聞からで、ECサイトからクレジットカード情報が流出するリスクが高まっています。
経済産業省は2020年に、決済を提供するECサイトは「PCI DSS」への対応を義務付けました。
「PCI DSS」とは、アメリカのVisaやマスターカード、JCBなどが共同で策定したセキュリティ基準です。
それによって、ECサイトのセキュリティレベルは高いかと思いきや、抜け穴がある、と言った趣旨の新聞記事です。
それは、ECサイトの事業者や決済事業者は「PCI DSS」に準拠していますが、その他の機能を提供している事業者(例えば入力フォーム機能を提供している事業者など)では準拠していないケースがあるそうです。
そして、その脆弱性のある個所に機能悪意のある攻撃者がプログラムソースコードを改ざんし、ECサイト利用者のクレジットカード情報を盗み取っているようです。
私は過去に、「PCI DSS」に準拠したシステム開発をしたことがあるのですが、準拠するためにはある程度の開発コストや運用コストをかけなければなりません。
ECサイトや決済事業者以外の、中小規模のECサイト構築支援事業者もすべからく「PCI DSS」に準拠させるように義務づけることが適切かどうかは慎重に検討しなければなりません。
政府も対策を決めかねている状況で、今はセキュリティの見直し点検をECサイト事業者に求める、にとどまっています。