米連邦取引委員会や米証券取引委員会を含む連邦機関は、決済処理会社ハートランド・ペイメント・システムズにおける大規模なデータ侵害を受けて、同社に対する調査を開始した。
ハートランドの社長兼最高財務責任者(CFO)であるロバート・ボールドウィン・ジュニア氏は、火曜日に行われた調査担当者との四半期ごとの電話会議で、SECが同社に対する非公式調査を開始したこと、また司法省も関連調査を行っていることを明らかにした。ボールドウィン氏によると、国立銀行とそのサービスプロバイダーを規制する米国財務省通貨監督庁(OCC)とFTCも調査を開始したという。
ハートランドは、1月20日に公表されたこの情報漏洩に関連して、集団訴訟も起こされている。「今後、政府による調査や捜査の対象となる可能性があります」とボールドウィン氏は電話会議で述べた。「当社に対して提起されたいかなる請求に対しても、断固として抗弁するつもりです。」
ハッカーはハートランドのシステムに侵入し、同社が加盟店顧客に代わって処理したペイメントカード取引の暗号化されていないデータを収集することに成功しました。小売店、ガソリンスタンド、ホテルなど、約25万か所の加盟店がハートランドのサービスを利用しています。ハートランドは、ハッカーがクレジットカード情報を盗み出すことができた期間や、影響を受けたカードの枚数を把握していません。
ここ数ヶ月、ハートランドを含む少なくとも3社のクレジットカード処理会社が高度な犯罪攻撃の被害に遭い、数百万枚もの決済カードが不正アクセスされました。他のカード処理会社の一つであるRBSワールドペイは、150万人の顧客データを損失しました。さらに先週、匿名の決済処理会社で発生した3件目のハッキング被害が明らかになりました。
ガートナー・リサーチのアナリスト、アヴィヴァ・リタン氏は、財務省のOCC(オペレーション・コントロール・センター)が今回の情報漏洩に関心を寄せているのは、これが銀行業界にとってより大きな問題の一部である可能性があるためだと指摘する。「ハートランドを標的とした犯罪組織は複数の決済処理業者を標的にしており、これは決済システムの健全性に対する深刻な脅威だと考えています」とリタン氏は述べた。
ハートランド社の広報担当者は水曜日に取材したが、SECがなぜ同社を調査しているのかは明らかにできなかった。
しかし、今回の捜査は、2008年10月28日にVisaがハートランドに対し不審な行為を通知した後に、ハートランドの会長兼CEOであるロバート・カー氏が行った株式取引に関連している可能性がある。インサイダー取引に関する届出書によると、カー氏は10月29日から情報漏洩が発覚した日までの間に、800万ドル弱相当の株式を売却した。ハートランドの株式はこれらの取引の大半において15ドルから20ドルの範囲で取引されていたが、情報漏洩の発覚後、株価は下落した。水曜日の終値は5.49ドルだった。
電話会議でカー氏は、自身の取引はハートランドが問題を知る数ヶ月前の8月に開始した10b5-1プランの一環であり、自身の負債を返済するためだったと語り、1月12日の夜に同社がシステムに悪質なソフトウェアを発見した直後に株式の売却を中止したと述べた。「売却の条件やタイミングに関して私には裁量権がなかった」と同氏は語った。
ハートランドによると、カー氏は1月に10b5-1プランを中止する前に、保有する580万株のうち90万株強を売却したという。
FTCがデータ侵害を調査し、その権限を行使して罰金や消費者への賠償を求めることは珍しくありません。ChoicePoint社は2006年、個人情報窃盗犯が同社のデータベースに保存されていた16万3000件の消費者記録にアクセスした事件で、FTCと1500万ドルの和解に達しました。
ボランティア運営のオープン・セキュリティ財団の最高技術責任者、デビッド・シェトラー氏は、政府の調査によってハートランド社の顧客やビジネスパートナーは現状を把握しやすくなると述べた。「多くの疑問が未解決のままです」とシェトラー氏は述べた。「全国の銀行員は、カードの再発行費用を負担しなければならないにもかかわらず、十分な情報が得られないことに苛立ちを募らせています。」
「銀行の業績がそれほど良くない時期と経済状況において、銀行家たちがその矢面に立たされている」とシェトラー氏は語った。
2007年、マサチューセッツ州銀行協会は、ハッカーによるクレジットカード情報の窃盗を受け、クレジットカードの再発行を余儀なくされた銀行に対し、小売業者TJXグループを提訴し、数千万ドルの損害賠償を求めました。この訴訟は、VisaとTJXが銀行への補償のために4,090万ドルの基金を設立したことで和解しました。
ハートランド氏の電話の非公式記録はここでご覧いただけます。
