クレジットカード決済インフラを提供するメタップスペイメント（東京都港区）は2月28日、同社のデータベースから最大46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。

調査の結果、サーバーへの不正ログイン、SQLインジェクション、バックドアの設置など、さまざまな攻撃を受けていたことが判明した。

流出の可能性があるのは、2021年8月2日から2010年1月25日の間に決済に使用されたクレジットカード番号、有効期限、セキュリティコード46万3395件、2009年5月6日から2010年1月25日に実行された決済情報593件、加盟店情報38件などです。なお、この数字は「実際に流出した情報は特定できない」（メタップスペイメント）ため、可能な限りの最大値であるという。

2009年12月14日、同社はサービスパートナーからクレジットカードの不正利用の懸念があると連絡を受け、調査を開始した。2月18日に警察へ被害届を提出した。

同社は、1月25日に第一報を発表した。その際、不正アクセスの原因や流出の詳細については調査中であるとしていた。

メタップスペイメンツは、外部有識者を含む再発防止委員会を設置した。委員会では、今回の事態を招いたガバナンスや組織、従業員の意識などの問題を議論し、4月までに報告書をまとめる予定だという。また、クレジットカード決済会社の情報セキュリティ基準である「PCI DSS」に基づくセキュリティ評価も実施する予定。

714

294

450

94

119