2005年7月、大手通販会社「楽天市場」から利用者のクレジットカード情報を始めとする個人情報が流出した恐れがある、との発表が行われました。

当初、楽天側が発表した被害件数は284件とされていますが、その後の調査によりカード情報1万26件を含む3万6239件の個人情報流出が確認されています。

そもそも通販会社のシステムは利用者のクレジットカード情報が蓄積されますので、サイバー攻撃を受けやすい性質を持ちます。その為、セキュリティ対策としては非常に高度なものが求められるのですが、事件当時楽天では、出店企業獲得の為にセキュリティを緩めていたことが分かっており、被害にあった利用者にとって納得のいかない事件であったとされています。

事件概要

rakuten32005年7月23日、楽天は加盟店従業員により利用者情報が流出した事実を公表しました。発覚のきっかけは、前日に大手マスコミからの「楽天市場で行われる取引きにかかわる個人情報が流出しているとの情報を得たが、本当か?」との問い合わせだったとされています。つまり、個人情報が流出してからも楽天自体は暫くの間、その流出に気が付いていなかったという事です。

マスコミからの問い合わせ後、同社では警察への相談及び社内調査を開始。調査後、徐々に明らかになってきたのは、楽天市場に出店していたセンターロードの店舗「AMC」から個人情報が流出したのではないかという事です。

ただし、当初センターロードは楽天とAMCどちら側から情報が漏れたのか判然とせず、さらにAMCには当時パソコンの扱いになれた人間がいないとし、人為的要因による情報漏洩という事は分かっていたものの「どこから情報が漏れたのかは分からない」という見解を示していました。

しかしその後、警視庁の捜査によって元センターロード職員であった東京在住の男性が、不正アクセス禁止法違反の疑いで逮捕され、この事件は一端の収束を見せる事となりました。

流出した情報

  • 利用者の購入商品名
  • 氏名
  • 生年月日
  • メールアドレス
  • 住所
  • 電話番号
  • クレジットカード番号
  • クレジットカード有効期限

情報流出が起こった原因

事件当時楽天は、楽天市場への出店企業をより多く獲得するべく、出店企業への審査基準を緩めており、その結果"悪意を持った人間"が楽天にアクセスしやすい状況にあった事が情報流出を引き起こした間接的な原因と考えられています。

一度出店可能となった企業であれば、対応する顧客の個人情報は企業側には筒抜けになるため、その取扱いは出店企業に委ねられているのです。

また、警察の調べによると、加害者男性は2005年5月11日から14日の間にかけて、自宅にあるPCから楽天へアクセス、そこから情報を抜き取っていたことが判っています。この男性は2004年度末にはセンターロードを退職していますが、退職後もIDとパスワードの使用が可能となってしまっていた点がこの事件の一番の要因であると言えるでしょう。

情報流出の結果何が起こったか

結果として、クレジットカード情報流出による実質的被害は幸いにも報告されていません。また個人情報が流出した事による二次被害等も、直接の因果関係を説明する被害届は出されてはいません。

当該事件の加害者男性の逮捕により事件の全貌が明らかになったものの、マスコミの情報提供の折に提出された、その他8545件の楽天市場が関わると推測される情報漏洩の件については、まだその全容が判然としていない現状となっています。

楽天が行った具体的対策とは

楽天側は被害がなかったものの、クレジットカードの番号が漏洩した事が特に重大であるとし、今後は楽天市場で買い物をする際には、クレジットカードの番号とメールアドレスを取引店舗側には明示しないシステムを導入する事としました。

またAMC側の対処法としては、やはりIDやパスワードを外部の人間(この場合は退職した加害者男性)に知られるような状態であった事が問題となっています。よって、パスワードの扱いにはより慎重となるよう、新たなマニュアルを設定する対策が求められました。

企業間での利便性向上がもたらした事件

rakuten2

この情報漏洩事件は、悪意のある人間によって引き起こされた事件ではありましたが、情報を抜き取りやすい状態であった事も十分な問題であるとされています。

出店企業への審査の甘さと、出店後であれば従業員が自由に個人情報の閲覧を行える環境を許していた楽天市場のシステムの甘さは改善されるべき事案です。そして店舗側に関しては、従業員に対してのID・パスワード管理の徹底が求められています。

楽天市場に会員登録を行う事で、登録された情報は市場内の店舗で共有が行われます。これにより、会員は購入時の情報入力の手間が省けるというメリットがあります。

しかしこのメリットは同時に、自身が購入した企業だけではなく、楽天に出店する全ての企業において個人情報が取り扱われるという危険性を孕んでいることを忘れてはいけません。

また、出店企業においても、楽天に出店することで、既に多くのユーザーが囲い込まれている大きな土壌で商売を行う事ができるという大きなメリットがあります。その分、出展企業における情報漏洩等の問題は、楽天市場の信用を失墜させる程の破壊力を持っているという事を再認識する必要があるのではないでしょうか。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。