この記事は、ECサイトを運営している方で「カード情報を漏洩してもカード会社が代わりに払う実際の賠償なんて大した額にならない」と間違った認識を持った方向けの記事です。
secuasの中の人が決済代行会社の担当者から聞いた「クレジットカード情報の漏えい」が発生した際に支払わないといけない賠償、損害費用、必要経緯の内訳をこっそりお伝えいたします。
目次
1.クレジットカード情報が盗まれる背景と原因
Eコマース(以下、EC)は1996年に日本でスタートしたと言われており、2000年に入りインフラの発展と共に急速に成長してきました。
手軽に事業を開始出来るメリットもあり急速に市場を拡大し今日においてもあらゆる業界でEC化率は上昇傾向にあります。
しかし、急速な市場の発展とは逆にセキュリティに関しては全然進歩していないのが実情です。
数年前までクレジットカード情報をサイト上で保持している会社も多く、クレジットカード情報の流出事件が後を立ちませんでした。
2018年にようやく経済産業省が月より施行の改正割賦販売法を施行され、PCI DSSに準拠しない加盟店についてはカード情報の非保持化が義務化されました。
経済産業省より引用:割賦販売法の詳細
日本カードセキュリティ協議会より引用:PCI DSSとは
ただ、不正の手口も年々進化し2018年の改正割賦販売法の施行に合わせて不正の手口も変化し、現在も「カード情報を保持していないのにカード情報の流出」をする会社が後を立ちません。
そうなんです、新たに出てきた不正の手口「ペイメントアプリケーションの改ざん」が現在では主流となり、大手のヤマダ電機が運営する「ヤマダウェブコム」と「ヤマダモール」や
中小企業でもオーガニック食品を取り扱う通信販売サイトやスケートボード専門のオンラインショップショップ、楽器のECなどでクレジットカード情報の流出が発生しました。
[ペイメントアプリケーションの改ざんについてはコチラの記事をご覧ください。]
この不正の手口はなかなか認識されておらず「うちはカード情報を保持してないから大丈夫」という間違った認識が一般的になっているため、
2022年になっても適切な対策がされておらずクレジットカード情報の流出は後を立ちません。
では、クレジットカード情報の流出をしたらどれくらいの賠償を支払うのか、詳細を見ていきましょう。
2.クレジットカード情報流出の損害賠償の内訳
では今からクレジットカード情報を流出してしまった企業が支払わなければならない費用についてご紹介致します。
大きく分けて2種類あり顧客やカード会社に支払う「賠償費用」と営業を再会するための「対応費用」があります。
その2種類の詳細をどこよりも詳しく書いてますのでぜひご覧ください。
2.1 賠償費用 カード再発行手数料
先ず、一番に挙げられる賠償としては「クレジットカード再発行手数料」です。
情報が漏えいしているカードをそのまま使用するわけにはいきませんので再発行が必要になってきます。
もちろんこの再発行手数料は全て漏えいしてしまった企業が負担しなければいけません。
肝心の費用ですが1枚につき2,000円が必要になります。
「2,000円ぐらいか」と思ったあなた。間違いです。
最近の流出事例ですが63,565名分のクレジットカード情報を流出してしまった企業があります。
そうです、なんと再発行手数料だけで1億2,713万円です。
1年分の会社の利益が一瞬で飛んでしまう金額です。
ここまで顧客数が無くても1,000名分の流出でも200万円の賠償。
2.2 賠償費用 不正利用分の賠償
もう一つの大きな賠償としては不正利用分の賠償が挙げられます。
流出してしまったカード情報を使い、不正に購入された商品代金の賠償は全てカード会社を通じて情報を流出してしまった企業に請求されます。
もちろん悪意を持った人が不正利用をするので100円や200円の請求で収まるわけはありません。
筆者が不正利用されたときは旅行チケットの購入で約40万円ぐらいの不正利用をされていました。
この不正利用が何百、何千件と実行されその金額を全て賠償しなければなりません。
2.3 賠償費用 顧客へのお詫び
企業の信用を失墜してしまうような事件を起こしたサイトで顧客を繋ぎとめておくためには顧客にお詫びを贈る必要があります。
何もお詫びをしなければ一瞬で顧客が離れていきますがこのお詫び、もちろんメールで謝罪して終了というわけにはいきません。
では何を贈るべきなのかということですがこちらは正解はありません。
ただ、昔に大きな事件になった「ベネッセの顧客情報漏えい事件」が実施した「500円分の金券」が基準とされることが多いです。
前述した、63,565名に500円の金券を贈ると3,178万円の費用が発生します。
これまた洒落にならない金額です。
2.4 賠償費用 損害賠償金
個人情報を漏えいしてしまった場合、顧客から訴訟され裁判になるケースがあります。
過去の判例を見ると流出してしまった秘匿性の分類から一件あたりの賠償金額が決められています。
クレジットカード情報の流出の場合は秘匿性が中の場合が多く、一件あたり10,000円前後の賠償費用を払わなければならない可能性があります。
こちらも前述した、63,565名全員に支払うと6億3,565万円の賠償請求が発生します。
2.5 対応費用 フォレンジック調査
フォレンジック調査はカード会社・決済代行会社と契約時に義務付けられている漏えい事故が起きた際の調査を指します。
この調査は特定の専門機関への調査依頼が必要となり自社でパパッとやって終わりなんてわけにはいきません。
原因特定や被害範囲の特定などを行うための体制を作るわけですからこちらの調査費用も数百万円から1,000万円程度が想定されます。
しかも見積もりを依頼してみないと金額はわかりませんし、フォレンジック調査を行わないとカードの再利用ができません。
漏えい後に、代金引換が銀行振り込みのみで営業をされるなら必要はありませんが、この世の中そんなわけにもいかないもの現状です。
2.6 対応費用 システム対策費用
上記のフォレンジック調査で問題を特定した後にもちろんやるのはシステムの対策です。
こちらの費用は・・・と書きたいのですがこの費用はケースによって全く異なるので具体的な金額は書けません。
さっと出来るなら数十万円で完了する場合もありますし、システムをまるっと移動させなければならない時はそれこそ何千万円という費用が発生します。
システムをまるっと移動なんて一言で書いてますが、一からサイトを作り上げるようなものですから当然ですよね。
被害状況によって発生する費用が全く変わってくるのが恐ろしいところで、過去には費用が払えないのでECサイト自体を閉める経営判断をされた企業もありました。
2.7 対応費用 カスタマー対応費用
そして最後の対応費用として忘れてはならないのがカスタマー対応の費用です。
流出してしまったサイトを利用している顧客からは様々な問い合わせが来ます。
単純な問い合わせであればまだましですが、怒号を浴びせられるようなこともしばしば。
1円の売り上げにもならない対応に従業員が行うと疲弊し、ひいてはせっかく育てたスタッフが離職することも多いとか。
よって、こういった対応になれた業者に依頼し騒動が落ち着くまで対応してもらう必要があります。
これもケースによって発生する費用は大きく異なってきますので具体的な金額は申し上げられませんが、
皆さんが嫌がる作業を依頼するのですかそれなりの費用は覚悟してください。
3.クレジットカード情報流出の事例
カード情報を流出した企業は今まで上げた費用が発生致します。
では実際に情報漏えいしてしまった企業がどれぐらいの費用が発生するのか確認してみましょう。
*下記の費用はあくまでも想定の費用であり実際に発生した費用とは異なります。
3.1 個人情報漏えい企業A社
ユニホーム通販で販売しているA社は63,565名分のクレジットカード情報を漏えい
カード再発行手数料 1億2,713万円
不正利用分の賠償 不明
顧客へのお詫び 3,178万円
損害賠償金 6億3,565万円
フォレンジック調査 1,000万円
システム対策費用 不明
カスタマー対応費用 不明
3.2 個人情報漏えい企業B社
古着通販サイトを運営しているB社は過去に決済したユーザーのカード情報1万8,136名分を漏えい
カード再発行手数料 3,627万円
不正利用分の賠償 不明
顧客へのお詫び 906万円
損害賠償金 1億8,136万円
フォレンジック調査 1,000万円
システム対策費用 不明
カスタマー対応費用 不明
3.3 個人情報漏えい企業C社
カタログギフト販売を運営しているC社は顧客カード情報最大2万8,700名分の漏えい
カード再発行手数料 5,740万円
不正利用分の賠償 不明
顧客へのお詫び 1,435万円
損害賠償金 2億8,700万円
フォレンジック調査 1,000万円
システム対策費用 不明
カスタマー対応費用 不明
4.まとめ
1万名分を超える漏えい事件になると賠償金の総額が1億円を超えてきますが、数千万円や数百万円という賠償金を支払っている事件は他にも多数あります。
また、費用として見えない部分として営業停止期間の売上損害や企業イメージの毀損などは費用として算出しにくいですが大きな問題としてのしかかります。
まずは、自社のサイトに「改ざんリスク」が無いか確認し、万が一あれば会社の利益を飛ばしてしまう前に対策をしましょう。
[この記事と関連する記事はコチラ]