2022年7月1日付「不正アクセスによる情報流出に関する対応状況について」につき、現時点の進捗をお知らせいたします。
1. システム面への対応
クレジットカード決済にかかるシステムについては、技術的安全性の確保を最優先に掲げ、各種対応を進めており、以下のとおり、一定のめどが立っております。
認定審査機関のアセスメントにより、ネット決済システム及びフロントシステム(※1)に関して、PCIDSS Ver 3.2.1へ順次準拠しております(※2)。
また、システムの安全性を維持継続できる運用体制構築に関する諸施策について、年内には完了する予定です。
なお、昨今の環境を鑑みるに、今後は、現時点よりさらに高度な安全確保が必要になってくると痛感するところ、決して本件への反省を風化させることなく、さらなる水準向上に向けて緊張感をもって取り組みを進めていく所存です。
2. 業務改善への対応
経営全般における業務改善につきましては、2022年6月30日付の業務改善命令、および第三者委員会(※3)からの再発防止策提案も踏まえ、業務改善計画を策定し、順次実行しております。また、経営体制面においては、8月、新たに金融・決済制度に造詣の深い吉元利行氏を社外取締役に迎え、取締役会の場のみならず、随時、専門的な知見からの助言を受けています。
内部統制強化のための機関・組織の整備、スタッフの教育も、手を緩めることなく取り組んで参ります。
3. 行政当局への対応
これまでの行政当局への対応は以下のとおりです。
(1) 経済産業省(2022年6月30日業務改善命令への対応)
2022年8月1日 実施済の措置及び今後実施予定の改善措置、時期にかかる報告書提出
2022年9月15日 8月1日付報告書にかかる追加報告書提出
2022年10月6日 進捗にかかる報告書提出(第三者委員会委員の評価も添付)
年末時点で再度、進捗にかかる報告書を提出(第三者委員会委員の評価も添付)する予定です。
(2) 個人情報保護委員会(2022年7月13日指導への対応)
2022年8月1日 改善策実施状況報告
なお、当社からの報告内容については、個人情報保護委員会において、以下のとおり、一定の評価を受けております 。
2022年8月31日 第214回個人情報保護委員会において改善策の実施状況を審議
(https://www.metaps-payment.com/company/20220901.html)
関係する皆様には引き続きご心配をおかけしますが、策定した改善策を着実に実行し、一刻も早い信頼回復に努めてまいる所存です。
どうか、ご理解のほど、よろしくお願いいたします。
※1 フロントシステムについて
フロントシステムとは、ネット決済システムの前後で予約申込・購入などを受け付けた情報を管理するシステムを指します。クレジットカード情報については、ネット決済システムのみで取扱い、フロントシステムでは非保持・非通過となります。
※2 PCIDSS準拠状況
(1)ネット決済システム
認定審査機関:株式会社ブロードバンドセキュリティ
PCIDSS準拠日:
2022年5月20日(P.C.F.FRONTEO株式会社によるフォレンジック調査結果を踏まえて準拠)
2022年6月11日(国際ブランド指定のベライゾンジャパン合同会社によるフォレンジック調査結果を踏まえた再準拠)
認定審査機関:株式会社GRCS
PCIDSS準拠日:
2022年11月25日(国際ブラント指定による別審査機関による準拠確認)
(2)フロントシステム(顧客向けクレジットカード情報非保持・非通過アプリケーション)
認定審査機関:株式会社ブロードバンドセキュリティ
PCIDSS準拠日:
2022年5月25日 会費ペイ
2022年7月28日 イベントペイ
2022年7月28日 チケットペイ
2022年7月28日 ペイシス
2022年9月30日 スポシル
2022年10月7日 BeesRent
(2022年12月予定 商工会議所向けシステム)
※3 第三者委員会委員
以下のメンバーで構成される独立した機関であり、事実関係の調査等を担当しました。現在は、当社の再発防止策の実施状況について、第三者的立場からの評価を行っています。
右崎 大輔 片岡総合法律事務所 弁護士
大河内 貴之 Secure・Pro株式会社 代表取締役