パスワードを忘れた? アカウント作成
8862 story

UCカードで個人情報流出が発覚。詐欺被害も 104

ストーリー by wakatono
いつかは出ると思っていたが… 部門より

von_yosukeyan曰く、"IT Mediaの記事によると、銀行系クレジットカード大手のUCカードは、同社のカード会員の個人情報が最大571件流出した可能性があると発表した。流出したのは、顧客の住所、氏名、電話番号、生年月日といったいわゆる「基本四情報」のほか、カードのカード番号、有効期限、利用可能額が含まれており、実際にカードの不正利用が発生しているという"

"流出元は、UCカードの夜間業務委託先の社員で、日常業務を装って端末を操作し顧客情報を入手、外部に売却していた。不正利用による被害は合計で88件、不正利用額1350万円にのぼり、経済最前線(NHK BSニュース)によると、インターネット・ショッピングなどで不正利用されたという。また、元社員はすでに懲戒解雇されている
今回の事件は、流出件数はそれほど多くないものの、基本四情報だけでなくカード番号や有効期限などが流出し、実際に不正利用被害が発生したという意味で悪質だ。夜間業務委託先の社員が、実際にどのような立場でどのような業務を行っていたのか不明だが、事件の重大性のワリにはUCカード側の対応が紋切り型であるのは気のせいだろうか?"

発表は紋切り型であるのはある程度しょうがないとは思うが、実際の対応や調査状況までこれまでのものと同レベルというのでは正直困る。変な督促ハガキが届くのも迷惑だが、今回の場合は「カード番号と有効期限」まであわせて抜かれてることから、請求されてはじめて気づくものもある。簡単に、かつリアルに実害発生させられる性質の情報が流出してしまったこともあり、事件の全容の早期解明と再発防止が望まれる。また、外部への業務委託の結果こうなってしまったこともあり、契約内容だけではなく具体的にどのように行動をチェックするかという話も急務になってくる…。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • UCのサイトで「流出」を検索すると、当該情報と共にこんなサービスが・・・
    「UC-Webセキュリティ診断サービスのご案内」 [uccard.co.jp]

    「UC―Webセキュリティ診断サービス」がスタート
      御社のWebセキュリティは大丈夫ですか?
    Webセキュリティ診断サービスなら皆様のインターネット通販サイトが個人情報を保護する為のセキュリティを確保しているかが診断できます。


    ご丁寧に他社の漏洩事例まで載ってます。
    もちろん、今回の貴重な事例も掲載するんだよね? > UC様
  • by shiraga (14233) on 2004年09月07日 2時44分 (#618070)
    アサヒ・コムの記事 [asahi.com]によると
    • 昨年11月から今年4月までに、同社で管理していた571人分の顧客の名前、生年月日、カード番号、有効期限などの情報が外部に流出
    • 今年1月以降、カードの不正使用の被害が急増したため、内部調査した結果、カードの紛失業務を扱う委託会社の元社員が、コンピューターの端末から、顧客情報を持ち出したことが発覚
    • 流出した個人情報を使って不正取引した容疑者は、4月に東京都内で逮捕されている
    ってことなんで、遅くても今年4月には個人情報流出がわかってたんではないのか?
    それで発表が今ごろってのは、どういうこと?
    • by Anonymous Coward on 2004年09月07日 9時20分 (#618140)
      今回の件が該当するかどうかは分かりませんが・・

      個人情報個人情報保護法関連のセミナーで弁護士が話していましたが、
      「漏洩が発覚したら二次被害防止のためにもできるだけ早く公表するのが鉄則。
      しかし、警察の捜査に協力する関係で公表が遅れることはよくあり、
      対応の難しい点の一つである。」とのことだそうです。

       また、「記者会見のセッティングも慎重に」「でも、予期せず
      警察からマスコミにリークがあったりするのでこれもまた対応が難しい」
      のだそうです。
      (以上2件はY!BBが事例になっていた。対応方針としてはそう悪いもの
      ではなかったそうです。)

      こんな話を聞くと「警察も被害者のことはあんまり考えてないのね。」
      「警察も捜査情報の漏洩はよくないんじゃない?」と思ってしまう。

      #もちろん、漏洩しないのが一番。
       「企業は事件の被害者であっても、同時に漏洩の加害者になっていることを忘れずに」
        という弁護士の言葉に深くうなずいて帰ってきたのでした。

      ところで、俺もUC持ってるんだけど・・大丈夫かな(どきどき)
      親コメント
  • > 実際に不正利用被害が発生したという意味で悪質だ。

    本業があって、それで扱う個人情報がもれた、
    ってのならしょうがないとは言わないけど、
    まだわかる。

    でもクレジットカード会社でクレジット番号
    と有効期限がもれるって、もう会社の存在意義が
    問われてるよね。「事件の重大性のワリにはUCカード
    側の対応が紋切り型」というのが本当だとしたら、
    おまえらクレジットカードの「クレジット」
    とはどういう意味か、言ってみろ!
    といいたい。

    一連の個人情報漏れの事件とは次元が全く違うものだ
    ということは強調しておきたい。
  • 解雇だけですむんですか?法的責任なし?
    # ヤクザな方に再就職する人には渡りに船となってしまうような...
  • by Anonymous Coward on 2004年09月07日 9時23分 (#618144)
    別件でタレこむまでもないかなーと思ってた話を一つ。
    数日前に社内でセキュリティ関係の講座でビデオ見たんですが、
    それがNTTコミュニケーションズの制作だったんですよね。
    内容はまぁIDパスワードをモニターに貼るなとか外で社外秘を
    大声で喋るなとか程度の啓蒙ビデオだったんですが。
    で、こういう事件起こしていたりして [ntt.com]、正直世の中寒いよなぁと。

    #個人情報流出経験ないけど、その割にSPAM大量にくるんだよなぁ
    • ビデオって、警察庁が作ったやつ [itmedia.co.jp]じゃないんですか?
      --
      名物に旨いものなし!
      親コメント
    • by Anonymous Coward on 2004年09月07日 12時50分 (#618308)
      先日、大手の古本チェーン店で立ち読みしていたら、
      文庫本のページの間から「NTT Data」「Confidential」などと印刷された
      A4用紙が出てきました。
      広げて見たところDB関係のチェックリストでしたが、紙の裏には
      「SQLServer id:hogehoge pass:hagehage」というメモが。
      結局その本と一緒に棚に戻しておきましたが・・・。
      親コメント
      • とりあえず下のコメントにも付いてるけど、
        公の場(つまりここ)で何かその企業が不利になる内容に関して、
        その内容の真偽、ACであるかないかは別として、
        具体的な企業名を出したコメントは削除したほうが良いかと。

        2chの訴訟例を見れば分かりますが(動物病院の話でしたっけ?)
        下手をするとここ自体が閉鎖に追い込まれるかもしれません。
        そもそも元コメントが本当であるかの真偽が確かではない以上、
        それを「記入する人の勝手」で切り捨てるのにはちょっと管理責任が薄いと思いますし。
        (ちゃんとあぼーんがある2ch以下かと)

        #法律は知る人の味方なのでID。
        親コメント
  • 言いわけて欲しい (スコア:2, すばらしい洞察)

    by SG152BMSK (21862) on 2004年09月07日 9時34分 (#618150)
    ネットからのいわゆる「扉あけっぱなし流出」と、
    会社内部的な持ち出しを、同等に「流出」と言わないで欲しいな、
    ニュースタイトルだけで読み取れない為、本文まで読み込まなければならない。
     
    会社内部的な持ち出しは、「盗難」でもいいんじゃないかな。
    会社のお金を勝手に持ち出して使った場合「流出」とは言わないし。
  • いいかげん (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2004年09月07日 10時03分 (#618170)
    「氏名とカード番号と有効期限が漏れたら終わり」ってのは何とかしなければいけないでしょうね。
    対面販売ならサイン(これも日本では怪しいが)が必要なのですから、 インターネット販売でも、何らかの認証のしくみが必要でしょう。 (今回の件は内部犯行ですので、認証があってもダメだったかもしれませんが)
    • by s_mkk (14567) on 2004年09月07日 12時27分 (#618287) 日記
      >何らかの認証のしくみが必要でしょう。

      生年月日、電話番号、セキュリティーコードでの認証もあります。
      セキュリティーコードとはカード裏面に印刷されている3桁の数字で
      カード番号とは違い印字される事はありません。
      しくみはあるがカード会社やWEBサイトが採用していない事が問題だと
      思います。
      親コメント
      • by mocchino (13752) on 2004年09月07日 16時40分 (#618414)
        >生年月日、電話番号、セキュリティーコードでの認証もあります

        Feega [feega.com]のクレジットカード登録でセキュリティコードを入力してください
        と言われて初めて知りました(苦笑)

        他で入力を要求された事はないです
        まぁでもぼちぼち増えている [google.com]ようではありますね
        親コメント
      • by katu256 (7538) on 2004年09月08日 9時42分 (#618780)
        英国から車の部品を購入しようと、メールのやり取りをしてるんですが、
        クレジットカードナンバーのやり取りが、どうも上手く行かない。
        こっちからは、1234 5678 9012 3456ってナンバーを連絡してるんですが、
        「We need the last 3 numbers on the BACK of the card.」
        なんて事を言われで困っていました。
        エキサイト君もOCN君もBACKを訳してくれず、悩んでいましたが、カードの裏の事だったんですね。

        半年くらい前に同じ所で買った時には、カードナンバーだけで良かったんだけどな~。
        親コメント
  • by norinori (17889) on 2004年09月07日 14時31分 (#618363)
    こういう事件の時に業務委託先の名前が前面に出ることって少ないですよね。派遣契約ではない以上、基本的に管理責任は業務委託先にあるはずだと思うのですが?

    また、外部への業務委託の結果こうなってしまったこともあり、契約内容だけではなく具体的にどのように行動をチェックするかという話も急務になってくる…。

    仕事で業務委託を使ってますが、どこも機密保持契約は契約書に一応のせていますし、様々な認証を取っていることを売りにしているアウトソーサーもあります。とはいえ、アウトソーサーは一つの業種の複数の企業の仕事を受託している場合もあるわけで、そうなると被害にあった会社(という書き方が適切かわかりませんが)だけではないということになりますよね。
    • >こういう事件の時に業務委託先の名前が前面に出ることって少ないですよね。派遣契約ではない以上、基本的に管理責任は業務委託先にあるはずだと思うのですが?

      金額は参考になりませんが、まさにこの場合は宇治市の判例 [law.co.jp]が参考になるでしょう

      裁判所の判断の3項、控訴人の事業執行性と指揮・監督関係についてにおいて、選任/監督に過失があったかどうかが問われています。
      秘密保持契約がされているのであれば、無過失であると言う事も言えないようです。

      状況次第では、秘密保持契約があったとしても監督・選任責任を問われると言う良い例でしょう
      発注者が請負者に対し直接指揮できる状況であれば、秘密保持契約があったとしても責任は免れない感じです

      また法的にどうあったとしても、個人が情報を預けたのは発注元の企業ですから、対応によってはイメージダウンはさけられないでしょう
      親コメント
      • まちがっとる(苦笑)

        誤>裁判所の判断の3項、控訴人の事業執行性と指揮・監督関係についてにおいて

        正>裁判所の判断の「2.控訴人の事業執行性と指揮・監督関係について」および「3.控訴人の選任・監督上の無過失の主張について」において

        です。2項では実際に監督関係があったかどうか、3項では秘密保持契約で2項の監督関係が免れないと言う判断になっています
        親コメント
        • 勿論UCが無過失だって言いたいわけではないのです。
          委託元に対して委託先の扱いが軽すぎるのでは?と思うのです。
          親コメント
  • 業界標準の (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2004年09月07日 1時11分 (#618028)
    500円じゃないでしょうね。
    • 昨日の新聞でしたっけ? (スコア:1, おもしろおかしい)

      by Anonymous Coward on 2004年09月07日 1時16分 (#618032)
      一人当たりの年間情報漏洩の損害賠償金額が日本は高いからソフトバンクが価格破壊します、って顔写真入りで意見広告出してたの。

      #まず自分のケツがきれいに拭けるようになってから、だよな
      親コメント
    • by kacchan6 (19477) on 2004年09月07日 11時28分 (#618240)
      ISOとかで情報漏洩のお詫びについて定義して欲しい。
      認定についてはユーザー数×500円分の預金があればOK
      親コメント
  • by shunsuke (1586) on 2004年09月07日 1時31分 (#618039) ホームページ 日記
    先日、500円のDCギフトカードが届いたばかりです。(笑)

    頭にきたので、これを機会にUCに乗り換えようかと思ってたんで
    すけど、このありさまですか~。

    この展開だと、次はJCBってことなんですかね。
    もはや何を信じていいのやら。
    • 次はKC [kcnet.co.jp]かNC [nccard.jp]だったりして…

      #いや、?Cなカード会社をあげただけです
      --

      /* Kachou Utumi
      I'm Not Rich... */
      親コメント
      • by mamoru (617) on 2004年09月07日 17時11分 (#618427)
        モロッコの市場で買った何か…200ディルハム
        チュニジアの港町で食べた何か…15ディナール
        ポルトガルのレストランで飲んだ何か…3ユーロ

        知らない国で請求されていた何か…priceless
        親コメント
        • Re:MC (スコア:1, おもしろおかしい)

          by Anonymous Coward on 2004年09月07日 18時01分 (#618445)
          東武鉄道のお詫び…5000円相当の遊戯施設入園券
          金印のお詫び …2000円相当
          山芳製菓のお詫び…1300円相当の商品および懸賞品
          ファミリーマートのお詫び…1000円のクオカード
          ディーシーカード のお詫び…500円の商品券
          Yahoo!BBで貰ったお詫び…500円の金券

          知らない所から届くダイレクトメール…priceless
          親コメント
        • by frea (6286) on 2004年09月07日 21時06分 (#618513)
          お金で買えない価値がある

          「信用」とかね。
          親コメント
  • 以前何連続かで個人情報流出されまくっていたID持ちの誰かは、今回は大丈夫だったんですかねえ。

    # お詫びの500円商品券の画像が飾ってあるミュージアム・ウェブサイトでも開いたらいかがでしょう、しゃれのつもりで
  • by nu-u (12312) on 2004年09月07日 17時33分 (#618431) 日記
    まさか、今回もですか?( ̄□ ̄;)>u1p [srad.jp]氏
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...