« Korea Tech セミナー | トップページ | ネチケットを学ぼう »

2005年6月27日 (月)

クレジットカード情報流出(2)

クレジットカード情報の漏洩を「個人情報漏洩」として扱うのは、やめた方がいいと思っています。

個人情報保護法の基本理念では、個人情報の定義の対象を、分類しないことにしていますから、名刺の住所とクレジットカード情報を明確に区別して議論することは基本理念を変えない限り現実的ではありません。

今回の事件の報道や検討では、まず、「クレジットカード情報の漏洩」と限定的に議論しないと、不毛なことになります。
物事を考えるときには、言葉はとても重要なので、今回の件では、「個人情報」という言葉を使用禁止にして、限定した視点をまず持つことが出発点でしょう。

クレジットカードのCVC情報(*脚注)が個人情報なんてバっカみたいですよね。

「個人情報漏洩」という言葉から離れれば、今回の件についてを、「個人情報保護法」とはまず最初は距離を置いて議論しようということが明確になります。
今回の情報のようなものを、企業内のすべての情報のうち、どのように類型化して対策を講じるのかというところから議論すべきと思います。

以上は、そもそも論です。
次に、今回の事件の本質論にも少しふれておきます。

今回、カード会社は、当該業務委託先に対して、カード情報を保持するなという契約をしていたとのことですが、「守れないルールを設けるな」にみごとに抵触したといえます。
アフターサポートのことを考えれば、カード情報を一切保持しないということはありえません。
そのため、業務委託先は、ルールを違反して保持しました。
その結果、アフターサポートに必要のないCVC情報などまで流出したわけです。
ひとたび、ルールの違反が常態化すると、ルール違反の中にルールを設けることはできないため、このようなことが発生します。
カード会社は、委託先がアフターサポートをしなければならないことを考えて、「アフターサポートに必要な最小限のデータだけを保持せよ。アスターサービスに必要なデータについては、~~~という対策を講じること。」という契約をすべきだったと思います。
それを「データを一切保管するな」としたために、対策についてを言及できなくなったと言えます。
カード会社は、現在、委託先への「データを保管するな」という契約を元に、責任回避をしようとしています。百歩譲って、「その契約についての委託監督義務が不十分であった」としようとしています。
しかしながら、ぼくからすると、その契約書の内容事態が「委託監督の放棄」の証拠そのものだと思えます。
そうでないのであれば、「アフターサポートは(カード会社自らが直接実施するので)委託先側では一切必要ない。だからデータを一切保管するな。」という業務委託内容でなければなりません。

2つのことを書きましたが、、、

限定的に情報を整理して対策を議論した後に、個人情報との関係を考察するということをせずに、今回の事件を個人情報保護の射程で考えると、百害あって一利なしの議論になるのではないでしょうか・・・

今回の事件を「個人情報漏洩」と称して変なものを売りつける、自称コンサルタントが急増しているようです。
よいコンサルタントの見極め方」で、よいコンサルタントを見抜くための質問を書いてみしたが、新たな質問が増えました。

「今回のクレジットカード情報漏洩の対策と、個人情報保護対策とはどういう関係ですか?」

この記事を参考に、質問に対する回答と比べてみてください。

*脚注:

CVC情報というのは、クレジットカードが番号や名義人情報など目で見てわかる情報だけから偽造されないようにするために、磁気ストライプの中に書き込むチェックのためのコードのことです。
今回は、CVC情報まで流出したため、これらの情報を使うと、実際のクレジットカードを偽造することもできるようになり、被害が拡大しつつあるわけです。

6月 27, 2005 |

トラックバック


この記事へのトラックバック一覧です: クレジットカード情報流出(2):

» クレジットカード情報流出(1) トラックバック 砂糖の甘い付箋
この事件で思うこと。 クレジットカードの不正利用は、全額補償なので事後処理はされ [続きを読む]

受信: 2005/06/27 21:38:24

» クレジットカード情報流出(1) トラックバック 砂糖の甘い付箋
[続きを読む]

受信: 2005/07/21 13:52:16

コメント

コメントを書く