金融系やっている人や決済周りやってる人なら常識かと思いますが、クレジットカード情報を扱うプラットフォームに関してはかなり厳しい規制があります。
https://ja.pcisecuritystandards.org/minisite/env2/
これの基準を満たしていることがクレジットカードを取り扱うシステムである最低条件になっているわけです。これすげーめんどくさいし、コストも掛かるんだけど、消費者を守るためだし、決済ネットワーク使わせてもらうことでサービスが提供できるんだからちゃんとやるの当たり前のことですよね。これちゃんとやらないってのはもう闇金業者みたいなもんですよ。
まあ、審査どうなっとんじゃいって話ではあるんだけど、審査って言ってもプラットフォームの設定を直接確認したりとかソースコードを直接確認したりとかまではしないわけで、求められている要件を「チッ、ちゃんとやってまーすww」みたいに報告してきたらしょうがない面はあるんだろうけどさ。
真面目にやってたって「ちゃんとやったつもりだったけど漏れてました」ってのは普通に発生するわけよ。だから、基準満たしてなかったから直ちに云々ってところまではいかなくてもいいとは思うよ。でもさ、嘘ついてたってのは相当悪質だし、こういうのちゃんとやらないのにイキがってるベンチャーとかマジで嫌いなんですよ。
当該脆弱性スキャンの報告書では、「High」レベルのうちシグネチャ未更新に関する脆弱性をなかったものに改ざんし、令和2年及び同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提出していた。
なお、WEBアプリケーション脆弱性診断の報告書の改ざんについては、担当職員から情報セキュリティ管理担当役員に報告がなされており、ネットワーク脆弱性スキャンの報告書の改ざんに関しては、情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた。
https://www.meti.go.jp/press/2022/06/20220630007/20220630007.html
組織ぐるみの改ざんってことだよね。ヤバすぎ。
また、同社は、クレジットカード決済システムのうち、少なくとも「会費ペイ」に係るシステムについては、令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについては、PCIDSSに準拠していない。このため、同社は法第35条の16第1項に規定する省令第132条第1号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。
そもそもルール守る気なかったってことだよね。ヤバすぎ。
同社のクレジットカード決済システムの運用監視において、発生したアラートの全件を確認しない状況が継続していた。
攻撃受けても知らんぷりってことだよね。ヤバすぎ。
どこをどう見てもサービスを継続する資格があるとは思えない。こういうサービスは決済ネットワークから切り離すべきだし、行政側も改善命令って甘すぎない?一発でご退場していただいて良いと思うんだけど。
