カード犯罪抑止に向けて企業が問われる責任とは - 岡村久道氏

岡村久道氏

オンラインでの取り引きが進展する中、企業による情報流出のリスクも増大してきている。なかでも消費者のクレジットカードをはじめとする決済情報の漏洩事件は後を立たず、被害の状況も深刻化している。しかし、カード犯罪を取り締まる法律や、企業に問われる法的責任は複雑でわかりづらい点が多い。そこで6月2日に行われた、日立システム主催のセミナーの「Prowise Business Forum in Tokyo」では、国立情報学研究所客員教授で、経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会」の委員などを務める弁護士の岡村久道氏が「カード犯罪と企業リスク」と題した基調講演が行い、カード犯罪に伴う法的な企業責任の現状を解説した。

岡村氏が紹介した「2008年警察白書」によると、2007年度のカード犯罪の認知件数は5,518件、検挙件数は4,060件で、過去10年ほどを見るとともに横ばい傾向にある。また、その内容は窃取/取得、または偽造したキャッシュカードなどを使用してATMから現金を引き出すケースや、偽造したクレジットカードを使用して不正に商品を購入する詐欺事件が全体の約9割を占めている。こうしたカード犯罪に対する規制には、刑法によるものと民法によるものがあるが、キャッシュカードとクレジットカードの違いなど、それぞれの線引きは実に複雑なものになっているのが現状のようだ。

岡村氏の解説によると、現在、盗難/偽変造に対する刑事罰では、キャッシュカードもクレジットカードも同等の扱いを受けている。真正カードを盗んだ場合には"窃盗罪"が適用され、カードの偽変造に対しては"支払い用カード不正電磁的記録に関する罪"に抵触するという。支払い用カード不正電磁的記録に関する罪とは、偽変造カードの作成や使用、譲り渡し行為だけでなく、スキミングなど作成のための準備行為や所持自体も処罰の対象とするもので、覚せい剤や大麻並みの厳格な措置。代金や料金の支払い用のカードや、預貯金の引き出し用のカードを"支払い用カード"と定義し、クレジットカードをはじめキャッシュカード、プリペイドカードなども対象となる。

一方、盗難/偽変造カードの使用行為に関する刑事罰では、キャッシュカードとクレジットカードで扱いが異なる。キャッシュカードの場合は、現金を管理/占有する金融機関の意思に基づかず、現金を盗んだものとして窃盗罪または、偽変造カードの場合は支払い用カード不正電磁的記録共用罪が適用される。対してクレジットカードの場合は、偽変造カードの使用はキャッシュカード同様に支払い用カード不正電磁的記録共用罪が当てはまるが、盗んだ真正なカードの使用の場合は"詐欺罪"、機械で使用した場合は"電子計算機使用詐欺罪"が問われることになる。

また、カード犯罪に関する民事責任では、キャッシュカードの場合、2006年に施行された「預貯金者保護法」により、他人に暗証番号を知らせた場合や暗証番号をカード上に書き記した場合など預金者側に明らかな重大な過失が認められる場合を除けば、原則として金融機関に補償が義務付けられている。ただし、この法律はATMによる不正操作を対象としたもので、ネットバンキングの被害には適用されない。これに対してクレジットカードでは、2008年に改正された「割賦販売法」により、カード情報取り扱い事業者にセキュリティ対策を義務づけられ、カード情報の漏洩や不正入手した場合には、3年以下の懲役または50万円以下の罰金が科せられることになった。

こうした昨今のカード犯罪対策に伴う、消費者保護の観点からした企業の情報漏洩に対する規制強化の流れについて、岡村氏は「企業にとって、システム過失は常にポイントなってくるだろう」と話す。さらに、5月に成立した「改正不正競争防止法」では、企業が保持する情報が競業関係になく、営業秘密をコピーするなどした時点で企業の営業責任が問われるよう規制が強化されたことを紹介し、「企業にとっては、情報セキュリティ対策をしていないと保護が受けられなくなる」と警告する。

しかし、企業の情報セキュリティをめぐっては、現在、規格が乱立して互いに矛盾が生じているという問題もある。経済産業省が中止となり、ガイドラインを策定しているものの「現状は自主的取り組みに寄与する」と岡村氏。

そんな中、数年前から国内で浸透しつつあるのが、VISAやマスターカードなど国際カードブランドが共同で制定した"PCI DSS(Payment Card Industry Data Security Standard)"というセキュリティ基準だ。岡村氏も「ただやみくもに従業員にモラルを上げろと言っても進まないもの。そういう意味ではISOの取得を目標に設定し、関係者をフォーカスするのはいいことだが、これからのグローバル社会において日本企業が国際基準を取っておかないと相手にされなくなるだろう」と推奨している。

セミナーでは、この他BSIマネジメントシステムジャパン・営業本部の武藤敏弘氏による「PCIDSSカード情報セキュリティの最新動向」と題した講演や、日立システムアンドサービス・セキュリティソリューション部の窪田秀正氏による「PCI DSS取り組みにおけるポイントとソリューション事例」と題したデモンストレーションなども続いて行われた。