最近世間を騒がせた情報流出事件の中で、2013年のTargetはもっとも大きなもののひとつです。4000万人分のクレジットカード・デビットカードの情報が流出したとされています。

保障金額が概ね出揃いましたが、カード情報流出に対する個人への保障はないに等しいとしか思えない金額です。

2013年のTarget情報流出事件

2013年12月19日発覚した、史上最大級の情報流出事件です。2015年に最大8000万件の巨大保険会社から過去最大級の情報流出がありましたが、4000万件という数は膨大です。

Targetは2013年12月19日、米国内の店舗で買い物客が使ったカード約4000万枚の情報が不正アクセスされた可能性があると発表した。
...中略...
今回Targetから流出したのは、11月27日から12月15日の間に米国内の店舗で使われたクレジットカードやデビットカードの情報。それとは別に、買い物客など7000万人の氏名、住所、電話番号、電メールアドレスなどが流出していたことも判明した。
出典:『Targetの情報流出はPOS端末のマルウェアが原因、米当局も注意呼び掛け』(ITmedia)

カード情報が4000万件で、重複はあるとしても最大1億1000万件の情報流出ですので、保険会社Anthemのものよりも大規模です。

Target

Targetは、アメリカの小売大手でディスカウント系小売店としてWalmartに次ぐ第二位の売上高を誇っています。収益は726億ドルだそうで、超巨大です。

日本の小売業では、少し古いですが2012年にイオンが売上高5兆6千億円(当時のレートで601億ドル、現在のレートでは450億ドル)です。(参考: 日本の小売業 売上高ランキング TOP40(2012年)

ほとんどがTargetの名前を冠した店舗で、アメリカとカナダで1934店舗(2014/1時点)を運営しています。少し前に経営破たんしたRadio Shack(参考:『RadioShack破綻、個人情報を競売』)も店舗数は多かったですが、TargetはRadio Shackと違って、大規模店舗ばかりです。アメリカ国内ではバーモント州を除く州へはすべて出店しています。

損害の補償

事件後に個人情報流出を補償させるための集団訴訟がありました。訴訟は結審せずに和解に持ち込まれ、1000万ドルを支払うことで合意しています。

損害の補填は情報流出を受けた個人だけではなく、カード会社とも交渉していました。MasterCardへは合計2000万ドル(参考:Target Nears Settlement With MasterCard Over Data Breach』WSJ)、VISAへは合計6700万ドル(参考:Target to Settle Claims Over Data Breach』)と報じられています。

カード会社への補償

カード会社への補償は今のところ、VISAとMasterあわせて8700万ドルと個人への賠償金を大きく上回ります。これらのお金は、「VISA」「MasterCard」そのものに支払われるわけではなくVISAカードやMasterCardカードを発行する会社群に分けられ、不正使用されたカードの被害を回復(reimburse)するための費用に充てられるようです。

個人への賠償

個人への賠償金額は1000万ドル(約12億円)とこの数字だけ見ると大きい額なのですが、Targetの規模からしたら非常に小さいです。何より、流出件数が4000万件ありますので、単純に割ると、一件あたり25セントしかありません。

Target had already reached a $10 million settlement with customers under a federal class action suit. But since 40 million customers had their card information stolen by the data hack, most customers will get only a few dollars. Customers who can document larger unreimbursed losses can be reimbursed up to $10,000.
出典:『Target and Visa reach $67 million deal in hacking case』(CNN.com)下線は管理人による改変です。

最大1万ドルと書かれていますが、買っていないものを説明するのはほぼ不可能です。クレジットカードの被害にしても、チャージバックを認めさせるのはそれほど単純ではありませんので、消費者には非常に厳しいですね。うちにも葉書が送られてきていましたが、連絡する郵便代や電話代も出ない・・・ですね。

日本の場合

日本では、アメリカよりも個人情報流出の賠償金が高そうな気がします。『「個人情報」を流出させた企業が払うべき「慰謝料」の相場はいくら?』(弁護士ドットコム)を見ると、クレジットカード情報などを含まない情報でも大体5000円くらい、含む場合はもっとずっと高くなるようです。

日本でTarget規模の情報流出があった場合、カード情報流出の賠償金を5万円と仮に設定すると、20兆円に上る計算になります。世界のTOYOTAの資産総額が41兆円だそうです。一気に会社が傾くレベルになるはずです。

POSシステム

Targetの情報流出は、企業に保存された情報ではなくPOSシステム(販売、在庫管理システム)にマルウェアが入れられて情報を抜き取られていたといわれています。販売する側にとっては非常に便利ななくてはならないシステムですが、セキュリティリスクも高いと以前から言われています。(参考:『先週の注目ニュース:POS端末のリスク、各社の月例パッチなど』Kaspersky Lab 2014年記事)

IT化は便利ですが、怖いですね。あまり関係ないですがマイナンバー(参考:『マイナンバー制度が始まりそう、困った』)が始まったら流出しないはずがないとしか思えません。

 

August 2017
Mo Tu We Th Fr Sa Su
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3

ログイン(DISQUS/Facebook/Twitter/Google)なしでもコメントでき、その場合管理人の承認後表示されます。