creditcard meti informationleakage 先日、不正アクセスによる情報漏洩*1があったメタップスペイメントですが、経産省から行政処分されていました。
情報漏洩は通常は当事者が謝罪して終了ということが多いので「行政処分???」と思いましたが、内容を読んでみると PCIDSS の審査時に改ざんした報告書を監査機関に提出していたり、それを情報セキュリティ管理担当役員が知っていたりと、結構びっくりすることが書いてあります。さすがにこれはセキュリティ意識の低さがという簡単な言葉で片付けられないレベルなので、行政処分もやむなしかなと思います。
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
また、同社は、平成30年から令和3年の間に実施したPCIDSSで求められているWEBアプリケーション(自社システムの管理画面を含む。)の脆弱性診断を診断ツールを用いて自社で実施し、「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性診断の報告書ではこれらの脆弱性をなかったものに改ざんし、平成30年から同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提示又は提出していた。
このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13327
コメントは承認後の表示となります。
OpenIDでログインすると、即時に公開されます。
OpenID を使ってログインすることができます。
