経産省は事実関係以外に再発防止策などの報告も求めた

経済産業省は24日、GMOペイメントゲートウェイ(GMO-PG)に対し個人情報漏えいについて個人情報保護法に基づく報告を求めた。GMO-PGは4月24日までに書面で報告を行わねばならない。

経産省が命じた報告事項は個人情報漏えいの事実関係、個人情報の取り扱いと管理状況、調査状況、再発防止策。調査にはログの記録などを洗い出すフォレンジック調査を行う必要があり、報告期限を1カ月後とした。経産省はクレジットカードを通じた取引を管轄していることから、GMO-PGに報告を求めた。

同社は委託を受けていた住宅金融支援機構の団体信用生命保険特約料、東京都主税局の都税のクレジットカード払いサイトで不正アクセスによる情報漏えいが発覚。ウェブアプリケーション作成のためのフレームワークである「Apache Struts2」(アパッチ ストラッツ2)の脆弱性を突いた攻撃によるもの。重複はあるものの住金機構で延べ4万3540件、都で同67万6290件が流出の可能性がある。

■ニュースリリースはこちら
http://www.meti.go.jp/press/2016/03/20170324006/20170324006.html

■関連記事「Apache脆弱性突き情報流出相次ぐ」
http://www.risktaisaku.com/articles/-/2499

(了)