楽天、2016年から第三者からのアクセスの可能性ありと発表

ECのミカタ編集部

楽天株式会社および楽天カード株式会社、楽天Edy株式会社は、社外のクラウド型営業管理システムに保管された一部の情報に対する社外の第三者からのアクセスを確認したと2020年12月25日に発表した。

各社では当該システムの設定変更を2020年11月26日(木)までに完了し、社外の第三者からのアクセス状況について調査を行っており、システムの設定変更後は、社外の第三者からのアクセスは確認していない。また、現時点では本件の影響による法人・個人のお客様への被害等は確認していないと発表している。

2016年から情報は危険に晒されていた

楽天は25日に以下のように発表を行った。(原文ママ)

ーーー

1.経緯
 2020年11月24日(火)、社外のセキュリティ専門家の指摘により、社外のクラウド型営業管理システムに保管された一部の情報が、社外の第三者からアクセスできる状態であったことが判明しました。同日、社内のセキュリティ専門部署が中心となり、当社および楽天カード、楽天Edyにおける対応を開始し、当該システムの設定変更を11月26日(木)までに完了しています。

 また、当該システムに対する社外の第三者からのアクセス状況について調査を行った結果、現時点では当社および楽天カード、楽天Edyが管理する一部の情報に、社外の第三者による海外からのアクセスがあったことを確認しております。当社および楽天カード、楽天Edyでは、当該システムの設定変更後、社外の第三者からのアクセスは確認されておりません。本件による影響に変化等が確認された場合は、随時お知らせいたします。

2.社外の第三者からのアクセスの可能性があった情報
楽天株式会社:
「楽天市場」への法人向け資料請求者および店舗情報
項目: 一部の出店見込/契約済事業者の企業名、店舗名、住所、代表者名、担当者名、電話番号、Fax番号、メールアドレス、営業対応情報等
可能性があった期間: 2016年1月15日(金)-2020年11月24日(火)
可能性があった最大件数: 1,381,735件(うち、現時点でアクセスが確認された件数: 208件)
※詳細については以下のリンク先もご参照ください。
https://event.rakuten.co.jp/top/announce/20201225/

楽天カード株式会社: 事業者向けビジネスローン申込者情報 
※楽天カード(楽天ビジネスカード含む)会員様の情報は、別のシステムにて管理しているため、本事象による影響はございません。
・対象となるお客様: 2013年4月1日(月)-2020年7月18日(土)に、ホームページよりビジネスローンをお申込されたお客様
※お電話にてお申込みされたお客様は対象となりません
項目:
法人または個人事業主: 名称、住所、メールアドレス、売上高、売上原価、借入状況、法人口座(銀行名・支店名・口座番号・名義)等
代表者: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、借入状況、勤続年数、運転免許証番号、個人口座(銀行名・支店名・口座番号・名義)、年収等
保証人: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、勤務先(名称、住所、電話番号)、運転免許証番号等
融資希望: 金額、開始日、期間、返済方法、資金使途、利率、審査結果等
※お客様によって、入力情報は異なります。
可能性があった期間: 2016年1月15日(金)-2020年11月26日(木)
可能性があった最大の法人・個人事業主数: 15,415件(うち、現時点でアクセスが確認された件数: 304件)
※詳細については以下のリンク先もご参照ください。
https://www.rakuten-card.co.jp/info/news/20201225/

楽天Edy株式会社: 故障した端末の残高移行サービス(注)申込者情報 
項目: 氏名、故障端末の電話番号、Edy番号等
※お客様によって、入力情報は異なります。
対象となる端末とサービス申請期間:
- 「おサイフケータイ®」機能付き携帯電話 2010年10月1日(金) -2019年3月4 日(月)
- docomo select「おサイフケータイ® ジャケット01」 2014年10月30日(木) -2020年11月18日(水)
- ソニー製ハイブリッド型スマートウォッチ「wena™ wrist」シリーズの一部 2016年3月24日(木) -2020年11月18日(水)
可能性があった期間: 2016年1月15日(金)-2020年11月26日(木)
可能性があった最大の申込者数: 89,141件(うち、現時点でアクセスが確認された件数: 102件)
※詳細については以下のリンク先もご参照ください。
https://edy.rakuten.co.jp/company/press/2020/1225_notice/
(注)Edyレスキューサービス

3.原因
社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備

4.現時点で実施している対応
各社にて、以下の対応を実施しました。

(1)当該システムの設定変更
2020年11月26日(木)までに各社において、社外の第三者によるアクセスを防止するため、当該システムの設定変更を行いました。設定変更後、社外の第三者からのアクセスは確認されておりません。

(2)情報が閲覧された可能性がある法人・個人のお客様へのご案内
楽天市場、楽天カード、楽天Edyの各サービスにおいて、法人・個人のお客様に対して本件の概要および被害に遭われた際のお問い合わせ先のご案内等を行ってまいります。

(3)監督官庁および個人情報保護委員会への報告
社内調査結果をもとに、楽天カード、楽天Edyより各監督官庁へ、当社より個人情報保護委員会へ報告を行いました。

求められる責任と安全性

今回の発表によると、不正のあった期間は最大2016年から。この期間一切データ管理の不備に気づかない体制にはかなりの問題があるのではないだろうか。

楽天モバイルや日本郵便との戦略提携など、新たなチャレンジを積極的に行っているが、土台が確立できていないことが明らかになってしまった。今回の不備は、社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備とのことだが、今回のことを機に改めて全社システムの見直しをしてほしいところだ。


記者プロフィール

ECのミカタ編集部

ECのミカタ編集部。
素敵なJ-POP流れるオフィスにタイピング音をひたすら響かせる。
日々、EC業界に貢献すべく勉強と努力を惜しまないアツいライターや記者が集う場所。

ECのミカタ編集部 の執筆記事