一切答えられない当事者
楽天市場に出店している輸入雑貨販売のAMC(運営はセンターロード)を利用した顧客の個人情報が流出した事件で、楽天は警察やセンターロードと協力して流出した原因や経路などを調査しているが、7月26日現在でもまだその詳細は明らかになっていない。流出した情報が不正に利用された事実も現時点では確認されていない。
今回の事件でもっとも気になるのは、どのようにして情報が流出したかという点で、楽天から流出したのか、店舗から流出したのかということも焦点となる。
楽天によると「アクセスログを調査したが、いまのところ(7月25日現在)不正アクセスなどの痕跡は見つかっていないので、楽天の社内システムから流出したとは考えにくい」(広報)としている。
また、センターロードへも今回の情報流出についての経緯や原因の可能性、顧客情報の管理方法などについて取材を試みたが、「警察の捜査上の都合があるので、今回の件に関しては一切お答えしないように取り決めている。そのため、なにもお答えできません」との回答が繰り返されるばかりだった。ただし、「流出した顧客の情報は会社側(センターロード)で持っていた」ということだけは答えてくれた。
情報が流出した123件を含め、AMCの取引情報は全部で約9万4000件あった。楽天はこの9万4000件の利用者に対して7月23日付けでこの事実と「お客様におかれましては今回の情報漏洩がもたらす影響についてご心配のことかと存じます。つきましては、心当たりのない請求やダイレクトメール、電話勧誘等については十分にお気をつけくださいますようお願い申し上げます」と注意を喚起するメールを送信している。
さらに、AMCの全取引の中のクレジットカード利用分である約2万1000件については、第三者による不正使用などの万一のことを考え、各カード会社に対し楽天が協力を要請し、該当カード番号のモニタリングなどの対応を図ってもらうことになったという。
意外に知られていない? 今回の流出事件
このように、ユーザーに対しては迅速に報告や注意などをしているが、楽天市場へ出店しているほかの店舗オーナーに対してはどうだろうか。事件の詳細はまだ明らかになっていないが、楽天の信用に傷がついたことは否めない。そうなると、他の出店者も売り上げに響かないかどうか気が気ではないだろう。楽天の初期のころから出店している、ある大手の店舗オーナーに現況などを聞いた。
このオーナーは、「個人情報が流出した話は小耳に挟んだが、前にも何度かあった店舗のメール配信ミスによる氏名などの流出かと思った。テレビでもぜんぜん騒がれないし、まさかクレジットカード番号までとは……。」と驚きを隠さない。
楽天ではユーザーへの対応と同時に7月23日付けで加盟店舗へもメールなどで流出事実の報告や注意を促していた。
オーナーが続ける。「どういう経緯で情報が流出したのか、出店者として非常に気になる。わからないけど、もし楽天から流出したのならもっと件数は多くなる可能性は高いだろうし、我々としてもかなり不安だが、どうすることもできない。店舗側からだったら管理がずさんだったということじゃないかな」
いずれにせよ、2005年4月に個人情報保護法が施行されたこともあって、個人情報の管理についてはどの店舗も「非常にピリピリしている」(同オーナー)と言う。それは、出店者が個人情報を管理しなければならないためだ。
個人情報を持たざるを得ない店舗の実例
楽天に出店している店舗に注文があると、出店者は注文してきた顧客の情報を楽天の店舗管理システムを通じて閲覧する。そして、このデータを印刷することもダウンロードすることも可能だ。銀行口座名やクレジットカード番号などの決済情報は、注文があってから2週間でこのシステムからは閲覧できなくなるが、氏名や住所などの基本情報はそのまま継続して閲覧できる。また、この2週間以内に印刷やダウンロードしておけば、決済情報までを店舗側で残しておける。
話を聞いたオーナーは、こうした顧客情報を別途開発した受注ソフトウェアを使って管理し、基本情報に基づいて商品の配送などを手配している。クレジットカード決済の場合の与信確認については、「うちもそうだが、多くの店舗は自分で用意した与信確認システムなどを通じて顧客の与信を確認している。楽天のシステムを使って与信結果だけを得ることもできるようだが、その都度手数料、つまりコストがかかるので利用しようとは思わない」と語る。
このオーナーは、「商品を発送した」「届いていない」など、商品発送における顧客とのトラブルなどを考えて、顧客情報や配送情報などを1週間に1度の頻度でCD-Rにバックアップしている。経験則では、3週間を超えたデータは必要がないので裁断処理して廃棄している。また、決済に関するトラブルを避けるために、与信情報を含む顧客情報も紙で残しているが、同様に1カ月後にはシュレッダーにかけてから焼却している。
こうした、顧客情報の処理方法などは「楽天から指導されたわけでも、マニュアルがあるわけでもない。配送や決済などがあるので、店舗側が個人情報をまったく扱わないようにするのは無理な話だ。個人情報を保護しながら顧客ときちんとやり取りできる方法として自分で考えた」と言う。もちろん契約書では規約で禁止されているが、「世間でよく事件として報じられているように、こうした顧客の情報を名簿屋に売るような小銭を稼ぐ悪だくみを考えればやってやれないことはないだろう」ともしている。
我々の首が絞まる前に詳細情報を切望
このように個人情報の取り扱いを説明したうえで、このオーナーは「早く今回の情報流出の詳細を明らかにしてほしい。流出経路や原因もそうだが、誰の責任だったのかもはっきりさせてほしい。けっして、楽天と店舗側で罪のなすりあいなどはしてほしくない。そうした事後処理をきちんとしてもらわないと、楽天市場の信用が地に落ち、ひいては出店している我々の首が絞まる」とディスクローズを切望した。
最後に、このオーナーはこうも付け加えた。「世間では『EC市場が拡大を続けている』『インターネットでの買い物が増えている』という印象が強いと思うが、実感として各店舗ごとの売り上げはここに来て落ち込みつつある。EC市場自体はたしかにまだ拡大しているだろうが、店舗数やモール数も非常に増えていることが店舗あたりの収入を苦しくしている原因だ。いまや、1人で3~5店舗は出店しないと利益を上げられないとまで言われている。こうした中で、コストには非常にシビアになっており、今回の情報流出をきっかけにセキュリティ対策でまたコスト負担を強いられるのは正直たまらない。セキュリティが大切なことは十分理解しているが……」
なお、今回楽天に出店しているAMCの取引情報の一部が流出したが、AMCはディー・エヌ・エー(DeNA)が運営するビッダーズにも出店している。DeNAに確認したところ「楽天と同様にビッダーズにおける取引情報の流出があったかどうか、その可能性については、弊社からAMC(センターロード)に問い合わせたが、『個人情報の流出経路については現在調査中であり、流出した情報の詳細についてもわからない』ということなので、ビッダーズ利用者の個人情報が流出したか否かについてはわからない」としている。ビッダーズにおけるAMCのサイトは、7月25日の午前中から「店舗の改装中」として商品の購入ができない状態になっている。この措置はDeNAが行った。今後についてDeNAでは「現状では不明な点が多すぎるが、状況を見ながら対処していきたい」としている。
CNET Japan 2005年7月26日
Link