楽天市場の加盟店「AMC」を利用した顧客の個人情報が流出した事件(楽天の発表、関連記事)で、AMCがクレジットカード情報をどう扱っていたかが明らかになった。AMCは楽天市場の店舗管理システムから、CSV形式の表計算ファイルとしてカード情報を含む顧客情報を一括ダウンロードしていた。情報の流出経路は不明だが、このファイルが何らかの形で外部に漏れ出した可能性が高い。
楽天市場の加盟店は、商品の在庫管理や注文情報の確認のために楽天市場の店舗管理システムを使っている。これまで、顧客カードの与信確認は、楽天側ではなく、加盟店側で行うのが一般的だった。多くの加盟店はこのシステムを使って取引ごとに顧客のカード番号や有効期限を入手し、決済端末などを使って与信確認している。
しかし、取引の多い一部の大規模店舗は電子モール運営元の楽天から特別な審査を受けた上で、自社の顧客のカード情報を一括ダウンロードする権限を得ている。自前の与信確認システムにカード情報を一つひとつ入力する手間を省くためだ。AMCも、こうした権限を持つ加盟店の1社だった。
今年2月、楽天は加盟店に代わってカードを与信確認するサービス「R-Card Plus」を開始している。R-Card Plusを使う加盟店にはカード情報を渡さず、与信結果だけを通知することで、個人情報保護の強化を狙ったシステムだ。今回の事件は、楽天が加盟店に対しR-Card Plusへの移行を促す中で起きた。
楽天は今回の事件について、「楽天側のシステムに情報漏洩の形跡は見つかっていない」(広報グループ)としている。ただし、今回の事件は警察が調査中であり、落ち度が楽天側にあるか、AMC側にあるか、最終的な結論は出ていない。
(本間 純=日経コンピュータ)
