大手スーパーのTarget、カード情報流出の賠償金額は最大36億ドル

Targetにとってはメリークリスマスどころではないようだ。先週同社は、顧客のクレジットカード情報4000万件が盗まれたことを公表した。その結果、小売業巨人の賠償額は最大36億ドルに上るようだ。

Targetは、データが流失したカード保有者一人につき90ドルの罰金を課される可能性があり、その場合総額は36億ドルに相当する、SuperMoneyのウェブサイトは書いている。

内訳はこうだ。すでにTargetは、あらゆる種類の訴訟に直面する可能性が高く、これに同社システム基盤のセキュリティーを全面的に見直すためのコストが加わる。ただし、それはごく一部にすぎない。去る2006年に、Visa、American Express、JCB、Discover、およびMasterCardは、PCIセキュリティー評議会を設立し、新たなカード情報セキュリティー標準(PCI DSS)を監視している。

このデータセキュリティー標準は、各組織がカード保有者情報を管理する方法を定めている。当然、この標準はカード詐欺を可能性を減らすことが目的だ。Target等の企業は、通常年に1回PCI評議会の審査を受け、正しい運用がなされているかどうかを確認する。PCI評議会としては、自らが承認したシステムが破られたことはないと言いたいところだが、実はそうでもない。評議議会は、企業に違反があった際遡及的に承認を取消すことがある。

いずれにせよ、Targetは極めて厳しい状況にある。彼らは、民事制裁金、クレジットカード会社による取扱中止、会社にとって重大な顧客からの信用を失墜など様々な困難に直面することになる。すでに4州が、集団訴訟に関する質問をTargetに寄せている。同社の大きなターゲット(標的)のロゴが突如として全く新しい意味を持ち始めた。

しかし、本当の損害が明らかになるのは、カード保有者当たりの罰金が累績した時だ。仮に企業が100%PCIに準拠していたとしても、「カード情報の流出は起こり得る。データを盗まれたカード保有者当たりの罰金は50~90ドルに上る」とFocus On PCIのウェブサイトは言っている。T.J. Maxxは、2007年に9000万件のカード情報が盗まれた際、同様の窮地に陥った。 

今回の流出が起きた原因には、数多くの説がある。しかし最悪なのは、これがわれわれ一般人に影響を及ぼしていることだ。ここアメリカでわれわれが使っているクレジットカードには、すべて磁気ストライプが付いている。盗まれたデータはすべてカードから読み込まれたものであり、偽造カードに書き込まれてブラックマーケットに売られる、とセキュリティー専門家のBrian Krebsは指摘し、本誌のJohn Biggsも解説している。

すべての責任をTargetに帰すること簡単だ。しかし昔ながらの磁気ストライプは、詐欺師たちによる偽造を著しく容易にする。ICチップによるデータ暗号化はヨーロッパをはじめ世界各所で何年も前から使われているが、米国は大きく出遅れており、ブラックマーケットのハッカーにとって安住の地となっている。ICチップは万能ではないが、この巨大な混乱の中で最も弱い立場にある消費者を保護することに関しては大いに役に立つ。

(トップ画像:via Flickr)

[原文へ]

(翻訳:Nob Takahashi / facebook