プラセンタ商品販売を手掛けるCELL CELLAR公式ショップからカード情報漏えいした可能性があると発表されていました。
scan.netsecurity.ne.jp
公式発表
2.個人情報漏洩状況
(1)原因
弊社が運営する「CELL CELLAR セルセラ 公式ショップ(旧MFⅢ-JAPAN)」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様1
2019年12月16日~2020年04月08日の期間中に「CELL CELLAR 公式ショップ(旧MFⅢ-JAPAN)」においてクレジットカード決済をされたお客様29名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
(3)個人情報漏洩の可能性があるお客様2
2010年08月20日~2020年04月08日の期間中に「CELL CELLAR 公式ショップ(旧MFⅢ-JAPAN)」において定期コースおよび電話・メール・FAXにてご注文をされた一部お客様の計525名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
(公式発表より引用)
キタきつねの所感
まず気になったのが、「カード情報非保持」違反です。
セキュリティコードこそ漏えいしていませんが、上記(3)は、改正割賦販売法の施行(2018年6月)により、カードデータは自社DBから削除しないと「カード情報保持」に該当します。この場合はPCI DSS準拠が必須となりますが、恐らくCELL CELLARはこの対応をしてないかと思います。
2010年8月からのデータが漏えいした=残っていた、という部分については非保持にした(決済代行会社等の非保持ソリューションを導入した)意味が無いとしか言えません。
また、こうしたインシデントが続いた場合、(非保持に対する)ガイドラインも更にきつくなる可能性が出てきますので、ECサイトは「本来残してはいけない古いカードデータ」を”保持してないか”、確認をすべきかと知れません。
少し横道にそれましたが、CELL CELLARのサイトをいつもの様に魚拓サイトで確認していきます。
続きを読む