お役立ちコラム
2022/10/18
サイバー攻撃の「被害を受けた業者」に異例の行政処分 経産省
これは間違いではありません。「被害者」に行政処分が下りました。
経済産業省は、クレジットカード情報を扱うのに必要なセキュリティー対策をしていなかったとして、決済代行業のメタップスペイメント(東京都)に割賦販売法に基づく業務改善命令を出しました。同社は2022年1月にサイバー攻撃の被害が発覚し、約46万件のカード情報が流出した可能性がある事案でした。
「被害事業者」への行政処分は異例です。
経産省は、同社のセキュリティー対策がカード情報を扱う事業者に求められる国際基準を満たしておらず、被害の要因であると断定し、担当役員は脆弱性を認識していたにもかかわらず、データを改ざんして経営陣に報告するなど対応も悪質だったという。
ここから学ぶことは、被害を受けた時に「被害を受けたあなたが悪い」と言われないように、世論に説明できる安全対策を講じていくべきだ、ということです。
御社は説明責任を果たせるだけの対策に手抜かりはありませんか?