お問い合わせ
0120-855-995
LINEで相談ECサイト情報漏洩の対応|カード情報漏洩・割賦販売法・損害賠償を弁護士が解説
2026年06月23日
ECサイトからクレジットカード情報や個人情報が漏洩した場合、個人情報保護委員会への報告(3〜5日以内)とアクワイアラ・カードブランドへの報告(5日以内)を同時並行で進める必要があります。対応が遅れるほど、チャージバック・行政処分・損害賠償という三重のリスクが拡大します。
本記事では、カード情報漏洩特有の割賦販売法・PCI DSS上の義務、発覚直後の緊急対応手順、EC制作会社への責任追及、再発防止策まで弁護士が解説します
この記事を監修したのは
スポットで一括対応or顧問で伴走も!
お客様に合わせたプランをご用意しています
ECサイトの情報漏洩:3つの被害類型と法的評価
ECサイトからの情報漏洩は、その内容によって適用される法律・報告先・対応の緊急度が大きく異なります。特にクレジットカード情報が含まれる場合、個人情報漏洩とは別の特別な規制(割賦販売法・PCI DSS)が適用され、カード会社との対応が必要になります。
漏洩情報の種類と法的影響の整理
漏洩情報の種類 | 主な法的規制 | 報告先 | 対応緊急度 |
クレジットカード番号・有効期限・CVV | 割賦販売法35条の16・PCI DSS | カードブランド・アクワイアラ(5日以内)+個人情報保護委員会 | 最高(即時サービス停止を検討) |
氏名・住所・電話番号・メールアドレス | 個人情報保護法26条 | 個人情報保護委員会(速報3〜5日・確報30日) | 高 |
ID・パスワード(不正ログイン被害) | 個人情報保護法・不正アクセス禁止法 | 個人情報保護委員会・警察 | 高 |
注文履歴・購買情報のみ | 個人情報保護法(要配慮情報に当たらない場合) | 件数・内容に応じて個人情報保護委員会 | 中 |
特定個人情報(マイナンバー) | 番号法(マイナンバー法) | 個人情報保護委員会(義務的報告) | 最高 |
特にクレジットカード情報の漏洩は、不正利用による二次被害(フィッシング・不正カード決済)が即座に起きるため、漏洩が疑われた時点でサービス停止・カード会社への連絡を最優先で実施します。「漏洩した件数が少ないから」「実害が出ていないから」という判断での対応遅れは絶対に避けてください。
クレジットカード情報漏洩の特別規制:割賦販売法・PCI DSS
割賦販売法(2018年改正)はクレジットカード情報を取り扱うEC事業者に対して厳格なセキュリティ基準を課し、違反した場合の行政処分・刑事罰・民事責任を定めています。これに加え、国際的なカード業界のセキュリティ標準「PCI DSS」への対応も求められます。
割賦販売法の主要義務
義務の種類 | 内容 |
カード情報の適切管理義務(35条の16) | クレジットカード番号等の漏洩・不正使用を防止するために必要かつ適切な措置を講じる義務。経済産業大臣が基準を定める |
割賦販売法の基準への適合 | PCI DSS準拠またはカード情報の非保持化(自サーバーでカード番号を保持しない)が実質的に求められる |
不正利用調査義務(35条の17) | カード情報の不正使用が疑われる場合、加盟店は速やかに調査し、結果をアクワイアラ(契約カード会社)に報告する義務 |
是正命令・業務停止命令 | 経済産業大臣は基準未達の事業者に是正を命じ、改善されない場合は業務停止命令を発令できる(最大6ヶ月) |
罰則 | 不正使用防止措置義務違反:6ヶ月以下の懲役または50万円以下の罰金(個人)。法人に対しても罰金あり |
PCI DSSとカード情報非保持化
PCI DSS(Payment Card Industry Data Security Standard)は、Visa・Mastercard等主要カードブランドが定める国際セキュリティ標準です。日本では大多数のEC事業者が「カード情報非保持化」の方針を取ることが推奨されています。
対応方針 | 内容と法的意義 |
カード情報非保持化(推奨) | 決済代行サービス(Stripe・GMOペイメントゲートウェイ等)を利用し、自社サーバーでカード番号を一切保持しない構成。漏洩した場合でも自社サーバーにカード情報なし→責任を限定できる |
PCI DSS準拠(保持する場合) | 自社でカード番号を保存・処理・転送する場合は全12要件への準拠が必要。QSA(認定審査機関)による年次審査が必要でコスト大 |
ハイブリッド型 | 決済画面のみ決済代行のホスト型フォームを使い、自社サイトにカード情報が渡らない構成(JavaScriptトークナイゼーション等) |
漏洩発覚直後の対応:最初の24時間
ECサイトでの情報漏洩が疑われる場合、最初の24時間は以下の優先順位で対応します。被害を確定させてから動くと遅すぎます。「疑わしい時点で」即座に動くことが重要です。
緊急対応チェックリスト(発覚〜24時間)
フェーズ | 実施事項 |
第1時間以内【即時封じ込め】 |
|
〜6時間【被害範囲特定】 |
|
〜12時間【報告準備】 |
|
〜24時間【対外対応】 |
|
重要
カード情報漏洩が疑われる場合でも、サービスを停止せずに調査を続けることには大きなリスクがあります。カードブランドや監督機関から「被害拡大を放置した」と評価され、制裁が重くなる可能性があります。法的・ビジネス両面のリスクを比較した上で迅速に判断してください。
カード会社・カードブランドへの対応:チャージバックと調査費用
クレジットカード情報が漏洩した場合、カード会社(アクワイアラ)は被害カードの特定・再発行・チャージバックの処理を行います。この過程でEC事業者はカード会社から重大な経済的負担を求められる可能性があります。
チャージバックとEC事業者の負担
チャージバックの種類 | 内容とEC事業者への影響 |
不正使用チャージバック | 漏洩したカード情報で第三者が不正決済した場合、その決済金額をEC事業者が負担するケース。漏洩したカードが使用された全取引が対象になることも |
セキュリティ違反による直接負担 | PCI DSSへの非準拠・カード情報の不適切な保持が確認された場合、カードブランドから「非準拠ペナルティ」(月額5,000ドル〜50,000ドル等)が課される |
再発行費用の負担 | 漏洩カードの再発行費用をEC事業者に請求するカード会社もある。大量漏洩の場合は数百万円〜数千万円規模になることも |
フォレンジック調査費用 | カードブランドが指定するQFP(認定フォレンジック調査機関)による調査が義務付けられる場合あり。費用は数百万円規模でEC事業者が負担するケース |
カード会社への報告手順(5日以内の速報が原則)
Step 1:アクワイアラへの第1報
EC事業者が直接契約しているカード会社(アクワイアラ)のセキュリティ担当窓口に電話・メールで「漏洩の可能性がある」旨を報告します。5日以内が目安です(ブランドによっては72時間以内)。
Step 2:カードブランドへの報告
Visa・Mastercard等のブランドへの報告はアクワイアラ経由で行うのが一般的です。ブランドは事案の深刻度に応じてフォレンジック調査の指示を出すことがあります。
Step 3:フォレンジック調査の実施
ブランドが指定したQFPによる調査を受け入れます。調査拒否は制裁の増大につながります。調査費用は基本的にEC事業者の負担です。
Step 4:調査報告書の提出
フォレンジック調査の結果報告書をカードブランドに提出します。漏洩の原因・範囲・対策が記載された報告書です。
被害顧客への損害賠償:金額の相場と請求の対応
ECサイトから個人情報・カード情報が漏洩した場合、被害を受けた顧客(消費者)から損害賠償を請求される可能性があります。個人情報漏洩に伴う損害賠償額は、漏洩した情報の性質・漏洩後の二次被害の有無・企業の対応姿勢によって変わります。
損害賠償額の算定基準
損害の類型 | 算定の考え方と金額の目安 |
精神的損害(慰謝料) | 個人情報漏洩自体に対する慰謝料。裁判所は1件あたり3,000円〜10,000円程度(一般的な個人情報の場合)と判断するケースが多い |
クレジットカードの不正使用被害 | 実際に不正使用された金額(実損害)が全額認められる可能性が高い。カード会社の補償制度がある場合はそちらを経由することが多い |
なりすまし被害による損害 | 漏洩した情報でアカウント乗っ取り・詐欺被害が発生した場合の実損害。証明できれば全額認められる可能性 |
通知・調査に要した費用 | 「自分の情報が漏洩したか確認するために要した費用」として数百〜数千円程度が認められるケースあり |
弁護士費用 | 損害額の10〜20%程度が認められる傾向 |
集団提訴・消費者裁判手続特例法への対応
多数の顧客が被害を受けた場合、消費者庁認定の「適格消費者団体」による消費者裁判手続特例法に基づく集団訴訟(共通義務確認訴訟)が提起される可能性があります。この手続きでは、まず「責任の有無」が一括で確定され、次いで個別の被害額が審理されます。
■ 集団訴訟への対応策
①早期の謝罪・補償対応で自主的解決を図る
②被害者に個別に対応窓口を設けて誠実に対応する
③補償金・お詫び品の提供による示談の促進(訴訟件数を減らす効果)
EC制作会社・開発会社への責任追及
情報漏洩の原因がECサイトの開発・実装の不備(SQLインジェクション脆弱性、不適切なカード情報の保存、アクセス制御の不備等)にある場合、EC制作会社・開発会社に対して損害賠償を請求できる可能性があります。
開発会社への請求根拠と要件
請求根拠 | 要件と実務上のポイント |
請負契約上の瑕疵担保責任(民法559条・562条) | 成果物(ECサイト)が「契約で定めた品質・機能を満たさない」こと。セキュリティ基準(PCI DSS・OWASP Top 10等)を仕様書で要求していた場合に主張しやすい |
債務不履行責任(民法415条) | 「セキュアな開発を行う義務」の不履行。開発契約に「個人情報保護法・割賦販売法に準拠した開発」という条項があれば主張しやすい |
不法行為責任(民法709条) | セキュリティの専門家として要注意の脆弱性(OWASP Top 10掲載のSQLインジェクション等)を実装に含めたことは過失と評価されやすい |
損害賠償請求の範囲 | 被害者(顧客)への賠償金・調査費用・対応費用・カード会社への支払い等。ただし開発会社の責任制限条項の有無を確認 |
証拠収集と立証のポイント
開発会社への責任追及には、「開発会社の実装の不備が原因で漏洩した」ことの証明が必要です。以下の証拠が重要です。
- フォレンジック調査報告書:漏洩の原因が脆弱性にあることを示す技術的証拠
- 開発仕様書・要件定義書:セキュリティ要件の記載有無
- コードレビュー結果・テスト仕様書:脆弱性テストが実施されたかどうか
- 開発完了時のセキュリティ診断結果:開発会社が提出した場合
- OWASP Top 10などの業界基準と実装の比較
開発会社との責任分担は、「開発後にEC事業者が設定変更を行った」「開発完了後に追加された機能で脆弱性が生じた」「維持管理契約なしに長期間放置した」等の事情があると割合的に減額されます。
個人情報保護法上の義務:報告・通知の実務
ECサイトでの情報漏洩は、個人情報保護法26条の「報告・通知義務」の対象になることが多くあります。報告義務の要件と期限を正確に把握し、対応を行うことが必要です。
報告が必要な漏洩の類型(ECサイト特有)
類型 | ECサイトへの当てはめ |
不正の目的による漏洩 | 外部からの攻撃(SQLインジェクション・スキミングスクリプト設置等)による漏洩→「不正の目的による漏洩」に該当。件数に関わらず報告が必要 |
財産的被害が生じる恐れ | クレジットカード番号・CVV・銀行口座情報が含まれる場合→財産的被害の恐れあり。件数に関わらず報告必要 |
要配慮個人情報の漏洩 | 健康情報・疾病情報・認証情報等が含まれる場合。医療・美容ECでは特に注意 |
1,000件超 | 漏洩件数が1,000件を超える場合(不正の目的なしの過失漏洩でも報告義務あり) |
報告・通知のスケジュール
対応 | 期限と内容 |
個人情報保護委員会への速報 | 漏洩等を「知った日」から概ね3〜5日以内(不正の目的による漏洩は最優先)。まだ詳細不明の段階でも速報を行い、判明した事実を追記する |
個人情報保護委員会への確報 | 30日以内(不正の目的による漏洩の場合は60日以内)。原因・件数・対応措置・再発防止策を記載 |
本人への通知 | 「当該本人の権利利益を保護するために必要な範囲において、本人への通知を行う」(法26条2項)。速やかに実施 |
カードブランドへの報告 | 漏洩確認から5日以内(ブランドによっては72時間以内)。アクワイアラ経由で報告 |
業種別追加報告 | 金融機関・医療機関・上場企業等は追加の監督官庁への報告義務あり |
再発防止策:セキュリティ三層対策
ECサイトのセキュリティは「技術的対策・運用的対策・法的規程整備」の三層で構築します。一つの対策だけでは不十分であり、各層が連携して機能することが重要です。
第1層:技術的対策
対策 | 内容・重要度 |
カード情報の非保持化(最優先) | 決済代行サービスへの移行でカード番号を自社に持たない設計に。漏洩した場合でも最大被害を限定できる |
WAF(Webアプリケーションファイアウォール)の導入 | SQLインジェクション・XSS・クロスサイトスクリプティング等の攻撃を自動的にブロック。クラウドWAF(Cloudflare・AWS WAF等)が手軽 |
常時SSL/TLSの適用 | 全ページをHTTPSに統一。特に入力フォーム・決済画面は必須 |
スキミングスクリプトの定期検知 | Magecartなどの外部スクリプト改ざんを定期的にスキャン・検知するツールの導入 |
定期的な脆弱性診断 | 年1回以上のペネトレーションテスト・脆弱性スキャンを第三者機関が実施 |
ログ監視・SIEM | 異常なアクセスパターン(大量ダウンロード・深夜のアクセス急増等)をリアルタイム検知 |
第2層:運用的対策
- 管理画面へのIPアドレス制限:社外IPからの管理アクセスを禁止またはVPN経由に限定
- 定期的なパスワード変更・多要素認証(MFA)の義務化:管理者・スタッフ全員に適用
- 最小権限の原則:スタッフごとに必要な権限のみ付与、退職時の即時権限削除
- 不審なファイルアップロードの監視:商品画像アップロード機能を悪用した攻撃に注意
- プラグイン・ライブラリの定期更新:WooCommerce・Magento等の既知脆弱性への対応
よくある質問(FAQ)
Q:ECサイトから顧客のカード情報が漏洩した可能性があります。最初にすることは何ですか?
A:最初にすべきことは①カード決済機能の一時停止(漏洩が疑われる時点で)、②サーバーログの即時取得・保全、③アクワイアラ(契約カード会社)への速報、④弁護士への相談です。この順序が重要です。調査が完了してから報告するのではなく、「可能性がある」時点で速報を行うことが割賦販売法・カードブランド規約上求められています。
Q:カード情報を保持していないECサイト(非保持化対応済み)でも情報漏洩が問題になりますか?
A:はい、問題になります。カード情報を保持していなくても、①氏名・住所・電話番号・メールアドレス等の個人情報、②購買履歴・注文情報、③ID・パスワードが漏洩した場合は個人情報保護法上の義務が生じます。また、決済フォームにスキミングスクリプトを設置されてリアルタイムにカード情報が盗まれる「Magecart攻撃」は、自社サーバーにカード情報を保存しなくても被害が生じます。非保持化は重要ですが、完全な対策ではありません。
Q:チャージバックはどれくらいの金額になりますか?
A:チャージバックの金額は漏洩件数と二次不正使用の被害規模によります。中規模のECサイト(カード漏洩1,000〜5,000件)でも数百万円〜数千万円規模になることがあります。さらにカードブランドから「セキュリティ非準拠ペナルティ」が課された場合は月額5,000〜50,000ドルが加算されます。フォレンジック調査費用(数百万円)を含めると、中小ECサイトにとって事業継続を脅かす規模の損失になることがあります。
Q:ECサイトを開発した会社に損害賠償を請求したいのですが、可能ですか?
A:漏洩の原因が開発会社の実装不備(SQLインジェクション脆弱性等)にある場合、可能です。ただし①契約書に「セキュリティ要件の充足」が明記されていること、②漏洩原因と開発実装の因果関係をフォレンジック調査で立証できること、③開発会社の責任制限条項の内容(開発費の○ヶ月分等)を確認することが必要です。開発後に自社でカスタマイズ・設定変更を行っている場合は責任が按分される可能性があります。
Q:漏洩したカード情報が実際に不正使用される前に対応できた場合、顧客への損害賠償は不要ですか?
A:不正使用がなければ「実損害ゼロ」として損害賠償が認められないケースもあります。ただし、漏洩の事実自体が「精神的損害(慰謝料)」として請求される場合があります。過去の判例では、個人情報漏洩に対する慰謝料として1件あたり3,000〜10,000円程度が認められた事例があります。顧客が多数の場合は総額が大きくなるため、漏洩事実の通知・謝罪対応・お詫び品の提供による自主的な解決を検討することが実務的です。
Q:漏洩後にサイトのセキュリティを強化したのに、また漏洩が発生しました。二度目はより重い処分を受けますか?
A:はい、原則として二度目の漏洩は一度目より厳しく評価されます。一度目の対策が「外見上の対策にとどまり根本的な解決がなされていなかった」と判断された場合、個人情報保護委員会から「措置命令」が発令される可能性が高くなります。また被害者からの損害賠償においても、繰り返しの漏洩は「企業の安全管理への姿勢が不誠実」として慰謝料の増額要因になります。再発防止策はPCI DSSや第三者による脆弱性診断の受診など、実効性を第三者が確認できる形で実施することが重要です。
Q:小規模なECサイト(年商3,000万円程度)でも、カード情報漏洩時のリスクは大企業と同じですか?
A:規模に関係なく同じ法的義務(割賦販売法・個人情報保護法)が適用されます。チャージバック・フォレンジック費用・弁護士費用の規模は大企業と同水準になることがあり、年商に占める割合では小規模事業者の方が深刻です。小規模ECサイトでもカード情報非保持化は必須対策であり、費用対効果が高い対策です。また、中小企業向けのサイバー保険(月額1万円程度〜)に加入することで、漏洩時の調査費用・賠償費用を補填できる可能性があります。
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。
スポットで一括対応or顧問で伴走も!
お客様に合わせたプランをご用意しています
