注目のセミナー

申込受付中!

危機に強い
プロマネ養成
実践トレーニング

火消しのプロが、 実践演習と個別の メンタリングを通じ、 強いPMを2ヵ月で育成!

情報システム

ITpro情報システム
情報システム

個人情報漏えい事件を斬る

ITpro

〔22〕楽天店舗の情報漏えいでわかった運営会社と出店者の複雑な関係

2005/12/15
外部筆者

 前々回(20回)前回(21回)と 2回にわたって、ワコールの不正アクセス事件を取り上げた。ECサイトでの個人情報漏えいには、内部犯行など企業内部の問題に起因するものもある。今回は、中堅中小企業(SMB)からの出店が多い、インターネットモール(電子商店街)に関連して起きた事件を考えてみたい。

楽天市場もビッダーズも特定できなかった個人情報漏えい

 2005年7月23日、楽天は、インターネットモール「楽天市場」での一部取引に係る個人情報が流出したことを発表した(「楽天市場の店舗での取引に係る個人情報の流出について」)。事件発覚のきっかけは、楽天市場からの個人データ流出の情報を入手したマスコミからの問い合わせだった。

 流出が判明した店舗は、センターロードという従業員数12人の会社が運営する輸入雑貨販売の「AMC」。漏えいした個人情報の内容は、顧客123人分の住所、氏名、電話番号、メールアドレス、購入商品、生年月日、クレジットカード番号だった。その後の調査で、8月6日時点の個人情報の流出件数が3万6239件に達し、そのうちクレジットカード番号が含まれる件数は1万26件であることが判明している。

 実はAMCは、ディー・エヌ・エーが運営するオークションサイト「ビッダーズ」にも出店していた。8月8日に、楽天市場から流出した情報の中に、ビッダーズ内の同店舗での取引に関係する個人情報8456人分が含まれていることが明らかになった(「ビッダーズの店舗における取引に係る個人情報の流出について」)。流出が確認された内容は、氏名、住所、電話番号、電子メールアドレス、商品タイトルで、クレジットカード情報は含まれていなかった。

 この段階では、楽天も、ディー・エヌ・エーも、センターロードも、内部から流出したのか、外部からの不正アクセスで流出したのかなど、具体的な個人情報の流出経路を特定できなかった。

 その後10月24日に、センターロードの元社員が不正アクセス禁止法違反容疑で警視庁に逮捕された。内部犯行による事件だったわけだが、犯人逮捕までの間様々な報道や憶測が飛び交い、関係各社は対応に四苦八苦することになった(「楽天市場・個人情報流出の件に関しまして」」参照)。

 今回の情報流出の影響を受けて、楽天の2005年7〜9月期におけるEC事業の注文回数は712万回となり、同年4〜6月期の719万回から7万回減少した。決算説明会で、三木谷社長は、「個人情報流出によるインパクトが10万件位あった」と述べている((楽天「決算説明会」参照)。それまでの間、楽天のEC事業は右肩上がりの成長を続けてきただけに、経営者としてはショックだっただろう。一加盟店での個人情報漏えいは、顧客だけでなく、モール運営者や他の出店者にも深刻な影響を及ぼしたのである。

インターネットモール運営会社と出店者の複雑な関係

 ワコールの事件と異なり、楽天やビッタ−ズのようなECモールでの個人情報漏えい事件の場合、ややこしいのが「個人情報取扱事業者」としての責任の所在だ

 リアル店舗や自社直営サイトなら、店舗を運営する会社すなわちセンターロードが責任を持って、個人データが流出した顧客やクレジットカード会社との間の確認業務を行うのが当然だ。しかしインターネットモールでは、事情が異なる。今回の事件は、出店者だけではどうすることもできなかった。

 顧客の個人情報データは、楽天市場やビッターズの内部サーバーで管理されている。センターロードは、顧客のクレジットカード情報を含む個人情報をダウンロードして業務処理を行っていた。しかし事件発覚後、出店者側から直接リストを確認できなくなってしまった。楽天市場も、ビッダーズも、モール内のAMC店舗を休止状態にして、直接AMCの取引顧客への連絡を行うようになったのだ。

 また、クレジットカードに関しては、各出店者が決済処理を受け持つ方法と、モール運営会社が決済処理を代行する方法が、両方とも行われている。前者では、個人情報や決済情報が漏えいするリスクが各出店者に拡散され、モール運営会社側の管理が難しくなる。しかし後者のやり方だと、モールにも手数料を支払わざるを得なくなるため、店舗側の負担が増えることになる。

 今回の事件が起きた後楽天は、カード決済代行サービスへの加入を全店舗に義務付ける方針を打ち出した。しかしビッダーズは、取引件数が多く自社独自の決済システムを使用している店舗については、個人情報管理体制など一定条件を満たした場合に限って、クレジットカード情報を含む個人情報のダウンロードを認める方針を打ち出した。

 決済システムとの連携やカード手数料率の問題が絡むので、加盟店舗一律に進められないという事情があるのだ。いずれにせよ、一加盟店での個人情報漏えい事件をきっかけに、カード決済代行サービスが個人情報保護対策として重視されるようになっている。

 インターネットモールで店舗展開するSMBは、モール運営会社やカード会社との契約関係や責任分担をもう一度確認して、個人情報保護対策を考えるべきだろう。

 次回は、モール運営会社が出店者向けに提供している個人情報保護対策について取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業、公共部門まで、国内のIT市場動向全般をテーマとして取り組んでいる。。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/
Twitter Facebook

この記事に対するfacebookコメント

nikkeibpITpro

新しいコメント機能について
▲ ページトップ

読みましたか? 〜 未読記事をご紹介

情報システムの最新記事>>一覧