クレジットカード番号等取扱業者に対する行政処分を行いました （METI/経済産業省）

経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント（法人番号9011101027550）に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1．事業者の概要 (1)名称：株式会社メタップスペイメント（以下「同社」という。） (2)代表者：代表取締役 和田 洋一 (3)所在地：東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容：決済代行業等 2．処分内容 割賦販売法（昭和36年法律第159号。以下「法」という。）第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売

[dorje2009]

Webアプリ脆弱性診断報告書のHighやMediumをなかったことに改ざんしてPCIDSS監査機関に提出って相当悪質だと思うけど、この程度の処分で済むのか。PCIDSS所管の経済産業省としてどうなんだ？

[augsUK]

HIGHの脆弱性を改竄してPCIDSS監査に提出したとあるけど、それ二度とこの界隈に関わらせてはならないレベルだと思うが。改善頑張れみたいな処分でいいのか？

[paradisemaker]

PCIDSS監査の報告書を改竄してクレジットカード番号等取扱業者に登録してるのに、業務改善命令で済むの？ 登録取り消しじゃないとやったもん勝ちにならない？？

[Palantir]

えっ、DSSって改ざん報告書が提出されて貫通するの！？これDSS側で審査拒否とかにならないかなぁ　/ ICMS-PCI0079

[orangehalf]

脆弱性診断のMediumレベルは場合によっては対応しないでも問題ないものもあるけど複数件のHighを放置するだけじゃなくて担当役員も承認のうえで改竄した報告書を監査機関に提出は廃業してもらうレベルだと思うの

[nakamura-kenichi]

担当省が無知無能で「あー、次から気をつけてね−」って認識なんかｗ？結構あちこちで、こと改ざんや虚偽に関しては寛容やんなあｗ。持ち合いやからかｗ？

[pukka3]

金融庁と違って経産省はぬるい処分しかできないんだな。

[NOV1975]

控えめに言って役満レベルなんだが、行政処分以前に決済ネットワーク側が締め出すべきじゃね？

[hiroomi]

そこは経済産業省クオリティなのか。

[whirl]

脆弱性診断の報告書の改ざんやらなんやら / 代表者が元スクエニの社長なのか

[junjuns7]

チケットペイ使ってるイベントの主催者、早く気づいて別の手段用意してっ。

[jaguarsan]

脆弱性を認めるとインシデント扱いになってマイナス査定になるってのはよく聞く。結果個人としては隠蔽するのが最適解となる

[nekoruri]

“情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた” 承認されたからヨシ！なわけねーだろ！

[TownBeginner]

おい、メタップスやばすぎる。 “「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性診断の報告書ではこれらの脆弱性をなかったものに改ざんし”

[prograti]

脆弱性があるとPCI DSS認証が維持できなくなるけどリソース不足とコスト削減のために脆弱性の修正ではなく脆弱性自体をなかったことにして認証を維持しようとしたと https://www.metaps-payment.com/company/report_metapspayment_20220701.pdf

[securecat]

改ざんする意味が全然わからないんだよなあ。脆弱性診断結果を改ざんするメリットって何なの？？

[YassLab]

“漏えいの対象となったクレジットカード番号等が保存されていたデータベースのテーブルは2つあり、それぞれ460,395件、2,415,750件の暗号化されたクレジットカード番号等が保存されていた。”

[eiki_okuma]

和田洋一ってスクエニの和田洋一と同一人物なのか……

[efcl]

調査報告書 https://www.metaps-payment.com/company/report_metapspayment_20220701.pdf

[pwatermark]

改ざんに気づかないのは百歩譲って仕方ないとしても、改ざんが発覚したからには資格停止しないと何の意味もないぞ、その監査

[kagerou_ts]

セキュリティー監査の報告書改ざんまでしてるのやべーやつじゃん。セキュリティーホール突かれただけならまだ同情の余地はあったけど、そこ軽視しててカード情報扱ってるのやばすぎでは

[kuracom]

メタップスの件

[youichirou]

どこらへんがどういう理由で握りつぶしてたんかなぁ。

[daij1n]

うーん、やったもん勝ちになりそうですな。

[rryu]

脆弱性診断の報告書を改竄して脆弱性を無かったことにしてPCIDSS監査を通したとかなかなか。改竄の主体が不明瞭だが、誰かの意思を忖度して現場がやったみたいな感じなのだろうか。

[apipix]

"割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント（法人番号9011101027550）に対し、同法第35条の17の規定に基づく改善命令を発出しました。"

[t-wada]

"脆弱性診断を診断ツールを用いて自社で実施し「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性診断の報告書では脆弱性をなかったものに改ざんし (中略) 報告書を監査機関に提出" これは

[dltlt]

『PCIDSSで求められているWEBアプリケーションの脆弱性診断を…自社で実施し、「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性診断の報告書ではこれらの脆弱性をなかったものに改ざん』

[W53SA]

だいぶやばいやつだった

[kuippa]

刀禰（とね）さんと読むらしい。主典以上の官人の呼称。由緒正しい公務員か。（注目してるところが違う

[napsucks]

めちゃくちゃだなもう

[teppeis]

これは

[kiria25]

事業継続しちゃダメなレベルだと思う。

[Shinwiki]

改竄されたデータ信じちゃう監査ってヌルくていいね。

[shodai]

“当該脆弱性診断の報告書ではこれらの脆弱性をなかったものに改ざんし、平成30年から同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった”

[legnum]

アルコール検知器に引っかかってたのに車運転してました、で免許取り消しにも免停にもならない的な>Highレベルの脆弱性が複数検出されていたにもかかわらず報告書ではこれらの脆弱性をなかったものに改ざん

[call_me_nots]

メタップスペイメント、この情報すら隠してきたとか激ヤバ→“令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提出していた”

[deep_one]

「PCIDSS監査に際し、改ざんした報告書を監査機関に提示又は提出」「PCIDSSに準拠していない」え？／これ、ブランド側から切られるぞ。