UCカードで個人情報流出が発覚。詐欺被害も 104
いつかは出ると思っていたが… 部門より
von_yosukeyan曰く、"IT Mediaの記事によると、銀行系クレジットカード大手のUCカードは、同社のカード会員の個人情報が最大571件流出した可能性があると発表した。流出したのは、顧客の住所、氏名、電話番号、生年月日といったいわゆる「基本四情報」のほか、カードのカード番号、有効期限、利用可能額が含まれており、実際にカードの不正利用が発生しているという"
"流出元は、UCカードの夜間業務委託先の社員で、日常業務を装って端末を操作し顧客情報を入手、外部に売却していた。不正利用による被害は合計で88件、不正利用額1350万円にのぼり、経済最前線(NHK BSニュース)によると、インターネット・ショッピングなどで不正利用されたという。また、元社員はすでに懲戒解雇されている
今回の事件は、流出件数はそれほど多くないものの、基本四情報だけでなくカード番号や有効期限などが流出し、実際に不正利用被害が発生したという意味で悪質だ。夜間業務委託先の社員が、実際にどのような立場でどのような業務を行っていたのか不明だが、事件の重大性のワリにはUCカード側の対応が紋切り型であるのは気のせいだろうか?"
発表は紋切り型であるのはある程度しょうがないとは思うが、実際の対応や調査状況までこれまでのものと同レベルというのでは正直困る。変な督促ハガキが届くのも迷惑だが、今回の場合は「カード番号と有効期限」まであわせて抜かれてることから、請求されてはじめて気づくものもある。簡単に、かつリアルに実害発生させられる性質の情報が流出してしまったこともあり、事件の全容の早期解明と再発防止が望まれる。また、外部への業務委託の結果こうなってしまったこともあり、契約内容だけではなく具体的にどのように行動をチェックするかという話も急務になってくる…。
UC-Webセキュリティ診断サービスのご案内orz (スコア:5, おもしろおかしい)
「UC-Webセキュリティ診断サービスのご案内」 [uccard.co.jp]
ご丁寧に他社の漏洩事例まで載ってます。
もちろん、今回の貴重な事例も掲載するんだよね? > UC様
記録的対応の遅さ? (スコア:4, 興味深い)
- 昨年11月から今年4月までに、同社で管理していた571人分の顧客の名前、生年月日、カード番号、有効期限などの情報が外部に流出
- 今年1月以降、カードの不正使用の被害が急増したため、内部調査した結果、カードの紛失業務を扱う委託会社の元社員が、コンピューターの端末から、顧客情報を持ち出したことが発覚
- 流出した個人情報を使って不正取引した容疑者は、4月に東京都内で逮捕されている
ってことなんで、遅くても今年4月には個人情報流出がわかってたんではないのか?それで発表が今ごろってのは、どういうこと?
Re:記録的対応の遅さ? (スコア:3, 参考になる)
個人情報個人情報保護法関連のセミナーで弁護士が話していましたが、
「漏洩が発覚したら二次被害防止のためにもできるだけ早く公表するのが鉄則。
しかし、警察の捜査に協力する関係で公表が遅れることはよくあり、
対応の難しい点の一つである。」とのことだそうです。
また、「記者会見のセッティングも慎重に」「でも、予期せず
警察からマスコミにリークがあったりするのでこれもまた対応が難しい」
のだそうです。
(以上2件はY!BBが事例になっていた。対応方針としてはそう悪いもの
ではなかったそうです。)
こんな話を聞くと「警察も被害者のことはあんまり考えてないのね。」
「警察も捜査情報の漏洩はよくないんじゃない?」と思ってしまう。
#もちろん、漏洩しないのが一番。
「企業は事件の被害者であっても、同時に漏洩の加害者になっていることを忘れずに」
という弁護士の言葉に深くうなずいて帰ってきたのでした。
ところで、俺もUC持ってるんだけど・・大丈夫かな(どきどき)
Re:記録的対応の遅さ? (スコア:1, おもしろおかしい)
Re:記録的対応の遅さ? (スコア:1)
クレジットカード会社でクレジット番号がもれるという (スコア:4, すばらしい洞察)
本業があって、それで扱う個人情報がもれた、
ってのならしょうがないとは言わないけど、
まだわかる。
でもクレジットカード会社でクレジット番号
と有効期限がもれるって、もう会社の存在意義が
問われてるよね。「事件の重大性のワリにはUCカード
側の対応が紋切り型」というのが本当だとしたら、
おまえらクレジットカードの「クレジット」
とはどういう意味か、言ってみろ!
といいたい。
一連の個人情報漏れの事件とは次元が全く違うものだ
ということは強調しておきたい。
Re:クレジットカード会社でクレジット番号がもれると (スコア:2, おもしろおかしい)
山のように不良債権抱えてる銀行の存在意義って。
貸す相手が返済可能か審査して貸し出す。
リスクに応じて利息を取る。
そのはずが・・・
Re:クレジットカード会社でクレジット番号がもれると (スコア:1)
例えれば、金庫屋の請負会社(?)が鍵のコピーを裏で売っていたようなもの?
Re:クレジットカード会社でクレジット番号がもれると (スコア:1)
Re:クレジットカード会社でクレジット番号がもれると (スコア:1, おもしろおかしい)
他人の個人情報を流出しておいて (スコア:2, すばらしい洞察)
# ヤクザな方に再就職する人には渡りに船となってしまうような...
Re:他人の個人情報を流出しておいて (スコア:1)
秘密保持契約とか結んでなかったのかな?
Re:他人の個人情報を流出しておいて (スコア:1)
# rm -rf ./.
Re:他人の個人情報を流出しておいて (スコア:1, 興味深い)
Re:他人の個人情報を流出しておいて (スコア:1)
> # ヤクザな方に再就職する人には渡りに船となってしまうような...
再就職は無理だと思う
だって もらしちゃいけない情報をもらすような人なんだし
Re:他人の個人情報を流出しておいて (スコア:1)
Kiyotan
他の話で恐縮だけど (スコア:2, 興味深い)
数日前に社内でセキュリティ関係の講座でビデオ見たんですが、
それがNTTコミュニケーションズの制作だったんですよね。
内容はまぁIDパスワードをモニターに貼るなとか外で社外秘を
大声で喋るなとか程度の啓蒙ビデオだったんですが。
で、こういう事件起こしていたりして [ntt.com]、正直世の中寒いよなぁと。
#個人情報流出経験ないけど、その割にSPAM大量にくるんだよなぁ
Re:他の話で恐縮だけど(さらにオフトピ) (スコア:1)
名物に旨いものなし!
Re:他の話で恐縮だけど (スコア:1, 参考になる)
文庫本のページの間から「NTT Data」「Confidential」などと印刷された
A4用紙が出てきました。
広げて見たところDB関係のチェックリストでしたが、紙の裏には
「SQLServer id:hogehoge pass:hagehage」というメモが。
結局その本と一緒に棚に戻しておきましたが・・・。
ここの管理人さんへ (スコア:1)
公の場(つまりここ)で何かその企業が不利になる内容に関して、
その内容の真偽、ACであるかないかは別として、
具体的な企業名を出したコメントは削除したほうが良いかと。
2chの訴訟例を見れば分かりますが(動物病院の話でしたっけ?)
下手をするとここ自体が閉鎖に追い込まれるかもしれません。
そもそも元コメントが本当であるかの真偽が確かではない以上、
それを「記入する人の勝手」で切り捨てるのにはちょっと管理責任が薄いと思いますし。
(ちゃんとあぼーんがある2ch以下かと)
#法律は知る人の味方なのでID。
Re:他の話で恐縮だけど (スコア:1)
「昨日クレジットカード番号と有効期限が書いてある紙を昨日どこそこで拾ったんですよー。いっぱい散らばってましたよ。」
という発言を公の場でしたらカード会社から機密情報漏洩で訴えられるのか?
そんなことはないでしょうよ。さすがに。
モラルとしてどうかということなら別かもしれんが。
言いわけて欲しい (スコア:2, すばらしい洞察)
会社内部的な持ち出しを、同等に「流出」と言わないで欲しいな、
ニュースタイトルだけで読み取れない為、本文まで読み込まなければならない。
会社内部的な持ち出しは、「盗難」でもいいんじゃないかな。
会社のお金を勝手に持ち出して使った場合「流出」とは言わないし。
Re:言いわけて欲しい (スコア:1)
上のコメントは漏れが書きますた
Re:言いわけて欲しい (スコア:1)
スラドで話題にするときは特に
技術的な欠陥で漏れたのか、(設定ミス、バージョンアップの怠り等)
人間関係(?)で漏れたのか、(そもそもパスワードを知っている立場の人間が持っていた等)
情報として分けたほうがいいのは当然では?
そりゃただ単に「顧客にお知らせ」するだけなら言い分ける必要は無いけど、
ここはそういうサイトじゃないし。
>言い分けることによって、何か意味がありますか?
もちろんありますよ。
「人の管理がずさん」なのか。
「技術の管理がずさん」なのか。見出しだけで一発でわかります。
読む人間が、
人間関係に興味が有るのか、技術に興味が有るのかで
その先を読んで議論に加わるべきなのか、
見出しを読むのだけで終わるべきなのか判断できますし。
Re:言いわけて欲しい (スコア:1)
Re:言いわけて欲しい (スコア:1)
「盗難」は適切な表現ではない、とすでに書きましたが、仮に「盗難」とした場合でも、その要因がどちらであるかなんて一目じゃわからんと思うんですが
いいかげん (スコア:2, すばらしい洞察)
対面販売ならサイン(これも日本では怪しいが)が必要なのですから、 インターネット販売でも、何らかの認証のしくみが必要でしょう。 (今回の件は内部犯行ですので、認証があってもダメだったかもしれませんが)
Re:いいかげん (スコア:1)
生年月日、電話番号、セキュリティーコードでの認証もあります。
セキュリティーコードとはカード裏面に印刷されている3桁の数字で
カード番号とは違い印字される事はありません。
しくみはあるがカード会社やWEBサイトが採用していない事が問題だと
思います。
Re:いいかげん (スコア:1)
Feega [feega.com]のクレジットカード登録でセキュリティコードを入力してください
と言われて初めて知りました(苦笑)
他で入力を要求された事はないです
まぁでもぼちぼち増えている [google.com]ようではありますね
Re:これだったのか (スコア:1)
クレジットカードナンバーのやり取りが、どうも上手く行かない。
こっちからは、1234 5678 9012 3456ってナンバーを連絡してるんですが、
「We need the last 3 numbers on the BACK of the card.」
なんて事を言われで困っていました。
エキサイト君もOCN君もBACKを訳してくれず、悩んでいましたが、カードの裏の事だったんですね。
半年くらい前に同じ所で買った時には、カードナンバーだけで良かったんだけどな~。
委託先がどこなのか? (スコア:2, 参考になる)
仕事で業務委託を使ってますが、どこも機密保持契約は契約書に一応のせていますし、様々な認証を取っていることを売りにしているアウトソーサーもあります。とはいえ、アウトソーサーは一つの業種の複数の企業の仕事を受託している場合もあるわけで、そうなると被害にあった会社(という書き方が適切かわかりませんが)だけではないということになりますよね。
Re:委託先がどこなのか? (スコア:1)
金額は参考になりませんが、まさにこの場合は宇治市の判例 [law.co.jp]が参考になるでしょう
裁判所の判断の3項、控訴人の事業執行性と指揮・監督関係についてにおいて、選任/監督に過失があったかどうかが問われています。
秘密保持契約がされているのであれば、無過失であると言う事も言えないようです。
状況次第では、秘密保持契約があったとしても監督・選任責任を問われると言う良い例でしょう
発注者が請負者に対し直接指揮できる状況であれば、秘密保持契約があったとしても責任は免れない感じです
また法的にどうあったとしても、個人が情報を預けたのは発注元の企業ですから、対応によってはイメージダウンはさけられないでしょう
Re:委託先がどこなのか? (スコア:1)
誤>裁判所の判断の3項、控訴人の事業執行性と指揮・監督関係についてにおいて
正>裁判所の判断の「2.控訴人の事業執行性と指揮・監督関係について」および「3.控訴人の選任・監督上の無過失の主張について」において
です。2項では実際に監督関係があったかどうか、3項では秘密保持契約で2項の監督関係が免れないと言う判断になっています
Re:委託先がどこなのか? (スコア:1)
委託元に対して委託先の扱いが軽すぎるのでは?と思うのです。
Re:委託先がどこなのか? (スコア:1)
そんな事件を起こした企業に個人情報&機密情報に関わる仕事を発注するのは、さすがにあり得ないでしょうから..
#事前調査もせずに発注したのなら、それは発注元の不手際でしょうね
周知という意味では、発注元より影響範囲は小さいですが、一般的に知名度が高く情報を直接集めた企業と知名度の低い請負会社の差という事でしょう
リスクを負う影響範囲が限定される分、通常利益も少ないので仕方有りません
#個人情報売るなんて、安く買いたたかれて居たのかなぁと勘ぐってしまうのは私だけかな?
Re:委託先がどこなのか? (スコア:1)
>実情を知り得ない他の企業に対しては平然と
>従来通り業務を継続できる、それはおかしい、という話では?
報道というのは良くも悪くも視聴者の興味のあるものしか報道してもらえません。
発注会社が有名であれば有るほど、普通の人が名も知らない下請け会社の事を報道してくれたりはしないでしょう。
まぁもっともそう言う会社を知るために企業信用情報 [google.com]を調査する会社があるわけですが...だめですかね?
Re:委託先がどこなのか? (スコア:1)
調査機関が報道などで公にされていない情報をどこまでだせるのでしょうか?
Re:委託先がどこなのか? (スコア:1)
信頼に足る企業かどうか知るために、情報として報道が必要だと思います。
Re:委託先がどこなのか? (スコア:1)
業界標準の (スコア:1, おもしろおかしい)
昨日の新聞でしたっけ? (スコア:1, おもしろおかしい)
#まず自分のケツがきれいに拭けるようになってから、だよな
Re:業界標準の (スコア:1)
認定についてはユーザー数×500円分の預金があればOK
次はJCB? (スコア:1)
頭にきたので、これを機会にUCに乗り換えようかと思ってたんで
すけど、このありさまですか~。
この展開だと、次はJCBってことなんですかね。
もはや何を信じていいのやら。
Re:次はJCB? (スコア:1)
#いや、?Cなカード会社をあげただけです
/* Kachou Utumi
I'm Not Rich... */
MC (スコア:1)
チュニジアの港町で食べた何か…15ディナール
ポルトガルのレストランで飲んだ何か…3ユーロ
知らない国で請求されていた何か…priceless
Re:MC (スコア:1, おもしろおかしい)
金印のお詫び …2000円相当
山芳製菓のお詫び…1300円相当の商品および懸賞品
ファミリーマートのお詫び…1000円のクオカード
ディーシーカード のお詫び…500円の商品券
Yahoo!BBで貰ったお詫び…500円の金券
知らない所から届くダイレクトメール…priceless
Re:MC (スコア:1)
「信用」とかね。
Re:次はJCB? (スコア:1)
-- 哀れな日本人専用(sorry Japanese only) --
あの人の情報は無事だろうか(オフトピ) (スコア:1)
# お詫びの500円商品券の画像が飾ってあるミュージアム・ウェブサイトでも開いたらいかがでしょう、しゃれのつもりで
今回も? (スコア:1)