不正アクセスインシデントに関する対応の進捗状況について 2022年11月29日 株式会社メタップスペイメント



2022年7月1日付「不正アクセスによる情報流出に関する対応状況について」につき、現時点の進捗をお知らせいたします。

1. システム面への対応

クレジットカード決済にかかるシステムについては、技術的安全性の確保を最優先に掲げ、各種対応を進めており、以下のとおり、一定のめどが立っております。
認定審査機関のアセスメントにより、ネット決済システム及びフロントシステム(※1)に関して、PCIDSS Ver 3.2.1へ順次準拠しております(※2)。
また、システムの安全性を維持継続できる運用体制構築に関する諸施策について、年内には完了する予定です。
なお、昨今の環境を鑑みるに、今後は、現時点よりさらに高度な安全確保が必要になってくると痛感するところ、決して本件への反省を風化させることなく、さらなる水準向上に向けて緊張感をもって取り組みを進めていく所存です。

2. 業務改善への対応

経営全般における業務改善につきましては、2022年6月30日付の業務改善命令、および第三者委員会(※3)からの再発防止策提案も踏まえ、業務改善計画を策定し、順次実行しております。また、経営体制面においては、8月、新たに金融・決済制度に造詣の深い吉元利行氏を社外取締役に迎え、取締役会の場のみならず、随時、専門的な知見からの助言を受けています。
内部統制強化のための機関・組織の整備、スタッフの教育も、手を緩めることなく取り組んで参ります。

3. 行政当局への対応

これまでの行政当局への対応は以下のとおりです。

(1) 経済産業省(2022年6月30日業務改善命令への対応)

2022年8月1日 実施済の措置及び今後実施予定の改善措置、時期にかかる報告書提出

2022年9月15日 8月1日付報告書にかかる追加報告書提出

2022年10月6日 進捗にかかる報告書提出(第三者委員会委員の評価も添付)

年末時点で再度、進捗にかかる報告書を提出(第三者委員会委員の評価も添付)する予定です。

(2) 個人情報保護委員会(2022年7月13日指導への対応)

2022年8月1日 改善策実施状況報告
なお、当社からの報告内容については、個人情報保護委員会において、以下のとおり、一定の評価を受けております 。

2022年8月31日 第214回個人情報保護委員会において改善策の実施状況を審議
(https://www.metaps-payment.com/company/20220901.html)

関係する皆様には引き続きご心配をおかけしますが、策定した改善策を着実に実行し、一刻も早い信頼回復に努めてまいる所存です。
どうか、ご理解のほど、よろしくお願いいたします。

※1 フロントシステムについて

フロントシステムとは、ネット決済システムの前後で予約申込・購入などを受け付けた情報を管理するシステムを指します。クレジットカード情報については、ネット決済システムのみで取扱い、フロントシステムでは非保持・非通過となります。

※2 PCIDSS準拠状況

(1)ネット決済システム

認定審査機関:株式会社ブロードバンドセキュリティ
PCIDSS準拠日:
2022年5月20日(P.C.F.FRONTEO株式会社によるフォレンジック調査結果を踏まえて準拠)
2022年6月11日(国際ブランド指定のベライゾンジャパン合同会社によるフォレンジック調査結果を踏まえた再準拠)

認定審査機関:株式会社GRCS
PCIDSS準拠日:
2022年11月25日(国際ブラント指定による別審査機関による準拠確認)

(2)フロントシステム(顧客向けクレジットカード情報非保持・非通過アプリケーション)

認定審査機関:株式会社ブロードバンドセキュリティ
PCIDSS準拠日:
2022年5月25日 会費ペイ
2022年7月28日 イベントペイ
2022年7月28日 チケットペイ
2022年7月28日 ペイシス
2022年9月30日 スポシル
2022年10月7日 BeesRent
(2022年12月予定 商工会議所向けシステム)

※3 第三者委員会委員

以下のメンバーで構成される独立した機関であり、事実関係の調査等を担当しました。現在は、当社の再発防止策の実施状況について、第三者的立場からの評価を行っています。
右崎 大輔 片岡総合法律事務所 弁護士
大河内 貴之 Secure・Pro株式会社 代表取締役




【不正アクセスによる情報流出に関する対応状況について 2022年7月1日 株式会社メタップスペイメント】


2022年2月28日付「不正アクセスによる情報流出に関するご報告とお詫び」にて開示のとおり、2021年10月から2022年1月にわたって当社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を突いたサイバー攻撃によって複合的な不正アクセスが行われ、最終的に決済情報等が格納されているデータベースから個人情報を含む情報が外部に流出し、クレジットカードの不正利用(以下、「本件」という)に至りました。

本件の発生以来、当社はクレジットカード決済における基盤であるネット決済システムに対して、技術的安全性の確保を最優先に掲げ、原因究明のために調査会社2社からフォレンジック調査を受け、決済システム監視体制の強化(WAFの導入・24時間365日監視対応、アラート検知体制の整備、IPSによる不正アクセスの遮断)、サーバの分離によるアクセス制御及び各種(アプリケーション・ネットワーク)脆弱性診断等の対策を順次実施すると共に、PCIDSSの認定セキュリティ評価者(QSA)より、ネット決済システム及び一部のフロントシステムについて、PCIDSS Ver 3.2.1への準拠の認定を受けました。なお、現時点で準拠の確認ができていないフロントシステムについては、準拠に向けて審査中の状況です。

並行して、当社は、2022年2月25日、役員に外部の専門家アドバイザーを加えたメンバーで構成される再発防止委員会を設置し、再発防止策の検討及び実施を継続してまいりました。また、更なる事実関係の解明及び原因究明を目的として、2022年4月7日付けで、当社及び再発防止委員会とは独立した組織である第三者委員会を設置し、別添1のとおり、第三者委員会による報告書を受領しております。

なお、別途公表させていただきましたように、当社は2022年6月30日付けで、経済産業省より割賦販売法第35条の17の規定に基づく改善命令を受けました。今後は、改善命令に係る指摘事項及び第三者委員会による提言を踏まえた再発防止策を速やかに策定すると共に、これらを確実に遂行して参る所存でございます。