クレカ情報大量漏洩にPCI DSS監査機関への虚偽報告、IT部門「聖域化」のリスク不正アクセスで最大約46万件のクレジットカード情報を漏洩させた可能性があると2022年2月に発表した決済代行会社のメタップスペイメントに対し、経済産業省は6月30日付で割賦販売法に基づく改善命令を出した。サイバー攻撃の被害者である同社に行政処分を下すという異例の措置だ。 メタップスペイメントによれば、攻撃者は2021年8月ごろから複数の手口を組み合わせて同社の決済システムに繰り返し侵入していた。最終的に2021年10月14日から2022年1月25日の間に使われたカードの番号と有効期限、セキュリティーコードを窃取した可能性がある。 直接の原因はセキュリティー対策の不備だが、第三者委員会の調査ではシステムの脆弱性診断の結果を改ざんして監査機関に提出していたなど、驚くべき事実も発覚している。背景には、ITガバナンスの欠如や人材不足、社内ルールが形骸化しやすい組織風土などがある。こうした状況は多く
