個情委、メタップスPに行政指導 - 情報資産を把握せず、内部監査規程も形骸化

クレジットカード決済サービスを提供するメタップスペイメントに対して不正アクセスがあり、情報流出が発生した問題で、個人情報保護委員会は、同社に対して個人情報保護法にもとづき指導を行った。

同社において、クレジットカードをはじめ、複数の決済サービスを提供しているが複数のデータベースが不正アクセスを受け、情報流出が発生したもの。

同社に対しては、経済産業省が割賦販売法に基づき、6月30日に改善命令を出しているが、個情委においても、個人データが適切に取り扱われていなかったとして、7月13日付けで個人情報保護法にもとづく行政指導を行った。

個情委では、指導に至った理由として、同社における個人データの管理体制における不備を挙げた。

同社では情報セキュリティ基本規定で、個人データを含む情報資産について棚卸しを行うことを定めていたが、情報資産管理台帳を整備していなかった。そのため、適切な棚卸しが行われておらず、情報資産を扱うシステムさえ把握できていなかったという。

（Security NEXT - 2022/07/13 ） ツイート

PR

関連記事

研究科サーバにサイバー攻撃、他機関のサーバ経由で - 神戸大
書籍購入者向けシステムでメアドなどが閲覧可能に - 金原出版
障害復旧作業用HDDが所在不明、内部の生徒情報 - 浦添市
元職員が個人情報を持出、サークル勧誘に利用 - 横須賀市の病院
サーバデータが暗号化被害、内部に個人情報 - タカカツグループHD
「OpenTelemetry Java Instrumentation」に脆弱性 - 派生ソフトも注意を
「Apache Spark」のログ処理に脆弱性 - アップデートで修正
「Spring AI」にRCEやSSRFなど4件の脆弱性 - クリティカルも
セキュリティスキャナ「Trivy」に不正コード混入 - 侵害有無の調査を
体験型サービスの会員向けメールで誤送信 - キリンビール