米小売大手のTJX Companiesで起きた過去最大規模の顧客情報流出事件は、暗号化が特効薬でないことを示した。 以下は、TJXが証券取引委員会に提出したフォーム10-K報告書の抜粋であるが、これは暗号化をめぐる問題の核心ともいえるものだ。 「フレーミンガムのシステムには、2006年にマスキングおよび暗号化対策を実施したが、2006年のコンピュータ侵入で利用された技術は、支払いカード発行者の承認プロセスの最中にフレーミンガムのシステムから支払いカードのデータを盗むことを可能にした。この承認プロセスでは、データ(トラック2のデータを含む)が暗号化されないまま支払いカードの発行者に送信される。さらに、TJXで利用していた暗号化ソフトウェアの復号化ツールにも侵入者がアクセスしていたと考えられる」 暗号化技術があってもデータが暗号化されなければ何の価値もないのは当然だが、クレジットカード番号が暗