2016年EC業界を騒がせた不祥事まとめ - 情報流出を防ぐだけでなく流出後の対応の重要性
オンラインで商品を購入する際に必ず必要となるのがECサイト上で個人情報を登録する作業。この結果、ECサイト上には膨大な顧客情報が蓄積されていく。しかし、システムは完璧ではないケースも多く、またその運用に人間が関わっている以上、ミスもつきものだ。そのため、本来あってはならないことだが、このように万全を期していても何らかのトラブルに巻き込まれ、顧客に悪影響を及ぼしてしまうケースがあるのも事実。ここ最近のECサイト関連の不祥事の大部分は、顧客情報の外部流出と言ってもいいだろう。今回は2016年に起こってしまった情報流出事故を31件ピックアップして紹介し、そこから今後の対策や留意点を考えていく。
1/18 京都薬品ヘルスケア株式会社 「eキレイネット」
京都薬品ヘルスケア株式会社は、運営するeキレイネットへの不正アクセスにより、クレジットカード情報を含む個人情報が流出した可能性があることを発表した。流出件数は不明。2014年10月8日~2015年11月5日の期間中にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(氏名/住所/カード番号/有効期限/セキュリティコードなど)であると報告している。現在eキレイネットは改修のため閉鎖されている。
2/2 プリンタス株式会社 「こまもの本舗」
プリンタス株式会社は、運営するこまもの本舗への不正アクセスにより、クレジットカード情報を含む個人情報6,432件が流出した可能性があることを発表した。2010年4月~10月、2015年8月~12月の期間中にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(カード名義人名/カード番号/有効期限/セキュリティコード/メールアドレス)であると発表している。
2/17 株式会社イー・エム・ズィー
株式会社イー・エム・ズィーは、運営するwebサーバへの不正アクセスにより、クレジットカード情報を含む個人情報(住所/氏名)1,106件が流出した可能性があることを発表した。2014年1月1日~2015年9月7日の期間中に同社製品を購入した顧客が対象。
3/7 江崎グリコ株式会社 「グリコネットショップ」
江崎グリコ株式会社は運営するグリコネットショップ への不正アクセスにより、クレジットカード情報43,744件を含む個人情報最大83,194件が流出した可能性があることを発表した。2012年10月12日~2016年2月3日の期間中に同サイトを利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(番号/有効期限/カード名義)及び個人情報(氏名/住所/電話番号/メールアドレス/お届け先情報/家族情報)であると報告している。
4/1 リデア株式会社 「カミチャニスタ」
リデア株式会社は、運営するカミチャニスタへの不正アクセスにより、クレジットカード情報が744件流出した可能性があることを発表した。2016年1月25日~2016年3月2日の期間中にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(カード番号/有効期限/セキュリティコードなど)であると報告している。リデア株式会社は2014年11月11日にも運営するECサイトクルチアーニCとクルチアーニの2サイトで合わせ最大22,544件のカード情報が流出し、対策を強化していた。
4/11 株式会社THE KISS 「THE KISS ONLINE SHOP」
株式会社THE KISSは、運営するTHE KISS ONLINE SHOPへの海外からの不正アクセスにより、クレジットカード情報を含む個人情報199,709件が流出した可能性があることを発表した。2016年1月16日~2016年3月2日の期間中にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(氏名/クレジットカード番号/有効期限/セキュリティコード)及び個人情報(ユーザーID/パスワード/氏名/住所/電話番号/メールアドレス/生年月日)であると報告している。
4/15 株式会社ECロボ 「OTTER BOX JAPAN」
株式会社ECロボは運営する「OTTERBOX JAPAN」が不正アクセス攻撃を受け、クレジットカード情報397件を含む個人情報が漏えいした可能性があることを発表した。2015年5月19日~2016年3月2日の期間中にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(氏名/住所/メールアドレス/クレジットカード番号/有効期限/セキュリティコード)であると報告している。
4/14 株式会社ヒューテックジャパン 「Vivid golf」
株式会社ヒューテックジャパンは、運営するVivid golfへの不正アクセスにより、クレジットカード情報を含む個人情報616件が流出した可能性があることを発表した。2016年1月25日~2016年3月11日の期間中にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(カード番号/有効期限/カード名義/セキュリティコード)及び個人情報(メールアドレス/住所)であると報告している。
4/26 株式会社デンキチ 「デンキチWeb」
株式会社デンキチは、運営する通販サイト「デンキチWeb」への不正アクセスにより、クレジット情報を含む個人情報が流出したことを発表した。流出件数は不明。2016年3月5日~2016年3月22日の期間中にクレジットカード情報を入力した顧客が対象。流出した可能性のある情報は、クレジットカード情報(カード名義/カード番号/有効期限/セキュリティコード) 及び個人情報(住所/メールアドレス)と報告している。
4/27 式会社SynaBiz 「NETSEA」
株式会社SynaBizは、運営するNETSEA への不正アクセスにより、クレジットカード情報7,386件を含む個人情報131,464件が外部に流出した可能性があることを発表した。2015年4月1日~2016年4月15日までの間にサイトにて会員情報を登録・変更、または2016年1月1日~2016年4月15日の期間にクレジットカードを登録した顧客が対象。流出した可能性のある情報は、クレジットカード情報(カード番号/有効期限/カード名義/セキュリティコード)及び個人情報(氏名/住所/電話番号/メールアドレス/ログイン会員IDおよびパスワード)であると報告している。
6/16 幌通運株式会社 「クラブゲッツ」
札幌通運株式会社は、運営するECサイトクラブゲッツへの不正アクセスにより、クレジットカード情報(番号/有効期限)を含む個人情報(氏名/住所/電話番号/メールアドレス)2,722件が流出した可能性があることを発表した。2015年10月1日~2016年3月4日、2004年4月~6月、2006年6月の期間中に同サイトにてクレジットカード決済を利用した顧客が対象。
6/14 株式会社JTB 「JTB」
株式会社JTBは、グループ会社である株式会社 i.JTBのサーバへの不正アクセスにより、約670万人の個人情報と約4,300件のパスポート情報が流出した可能性があることを発表した。対象となるのは2008年9月28日~2016年3月21日午前1時32分までのオンライン予約分。流出した可能性のある情報は、個人情報(氏名/性別/生年月日/メールアドレス/住所/郵便番号/電話番号)及びパスポート情報(パスポート番号/パスポート取得日 )であると報告している。さらに提携先であるDeNAトラベルは、「DeNAトラベル」の利用者6,562人の情報が含まれていることを発表。JTBは本件に関する「なりすましメール」「フィッシングメール」や「なりすましサイト」への注意勧告を行っている。
6/14 株式会社NTTドコモ 「dトラベル」
株式会社NTTドコモは運営する「dトラベル」において不正アクセスを受け、約33万人の個人情報が外部に流出した可能性があることを発表した。上記のi.JTB社の提携先の一つにdトラベルのサービスも含まれているため、JTBへの不正アクセスに伴い情報が流出した可能性があると報告している。2014年2月27日~2016年3月21日までのオンライン予約分が対象。流出した可能性のある情報は、個人情報(氏名/性別/生年月日 /メールアドレス/郵便番号/住所/電話番号)であると報告している。
6/21 GMOメイクショップ株式会社 「Makeshop」
GMOメイクショップ株式会社は、2014年に起きたMakeshopへの不正アクセスの再調査の結果、個人情報の流出データの規模は2014年の発表当時の6倍以上の規模だったことを発表した。
2014年9月24日にMakeShopへ不正アクセスが発生し、最大320店舗の管理者用ログインID・パスワード、うち39店舗の最大101,624件の会員情報が流出した可能性があることを2014年9月25日に発表した。しかし2016年5月に警察当局よりMakeShop利用中の店舗及び店舗の会員情報と思われるデータの提供を受け再調査した結果、2014年9月当時の不正アクセスにおいて、先の報告よりも多くの件数が外部に流出していたことが判明した。
今回の再調査を受け、最終的に対象となるのは2014年9月24日までにMakeShopを利用していた店舗のうち6,116店の店舗情報(ショップID/ショップパスワード/ショップ住所/ショップ電話番号/申込者名/申込者電話番号/メールアドレスなど)と625,578件の会員情報(会員ID/会員パスワード/氏名/生年月日/性別/メールアドレス/住所/職業/電話番号/ポイント情報/決済手段区分/PAIDメンバーID)と報告している。
なお、2014年9月25日以降にMakeShopを利用した店舗及び店舗の会員情報の漏えいはないと報告している。
6/22 株式会社講談社 「NET ViVi cooridinate Collection」
株式会社講談社の女性月刊誌ViViが株式会社ウェアハートと共同で運営する公式通販サイトNET ViVi coordinate Collectionが不正アクセスを受け、注文履歴(キャンセルを含む)がある会員10,946名分を含む15,581件の注文情報が流出したことを発表した。サイトが利用していたパイプドHD株式会社の子会社である株式会社パイプドビッツが提供するアパレル特化型ECプラットフォームスパイラルECへの不正アクセスが原因。2015年8月22日午後3時~2016年4月18日午後4時38分に同サイトで注文を行った顧客が対象。
流出した項目としては注文者氏名、注文者住所、注文者メールアドレス(PC/携帯)、注文者電話番号、注文者コメント、管理者コメント、配送先氏名、配送先住所、配送先電話番号、注文金額、送状番号等があり、クレジットカード情報は決済代行業者が保有しているため流出していない。
またパイプドビッツは不正アクセスにより「スパイラルEC®」を利用しECサイトを運営している43社53サイト314名の管理画面にアクセスする運営者のログインID及び暗号化されたログインパスワード、そのうちの40社42サイトにおける個人情報を含む約98万件の会員データ、2社2サイトが利用している決済代行サービスとの連携設定、22社24サイトの同設定が流出した可能性があることを発表した。
8/4 株式会社榮太樓總本舗 「あめやえいたろうオンラインショップ」
株式会社榮太樓總本舗は、同社が運営するあめやえいたろうが不正アクセスを受け、1,188人分のクレジットカード情報が流出した可能性があることを発表した。2016年1月6日~5月17日にかけてクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(カード番号/有効期限)及び個人情報(氏名/住所/電話番号/メールアドレス)であると報告している。
8/16 一番食品株式会社 「一番食品サイト」
一番食品株式会社は、一番食品サイトの管理を委託しているシステム会社のWebサーバへの不正アクセスにより、クレジットカード情報を含む個人情報479件が流出した可能性があることを発表した。2016年1月5日~2016年6月22日の期間中にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(氏名/番号/住所/有効期限)及び個人情報(電話番号/メールアドレス)であると報告している。また同社社長であり福岡県飯塚市長であった斎藤市長は田中副市長と賭け麻雀をしていたことが判明、斎藤市長は12/23に一番食品の全ての役職を辞任した。
8/26 軒先株式会社 「軒先パーキング」
軒先株式会社は、運営する軒先パーキングへの不正アクセスにより、クレジットカード情報最大38,201件 を含む最大111,959件の個人情報が流出した可能性があることを発表した。2015年5月8日~2016年7月27日の期間中に利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(カード番号/カード名義/有効期限/セキュリティコード)及び個人情報(メールアドレス/パスワード/氏名/住所/電話番号/その他の登録情報) であると報告している。
8/31 株式会社カード・ウェーブ 「CardWave Online」
株式会社カード・ウェーブは、運営するCardWave Onlineへの不正アクセスにより、クレジットカード情報を含む個人情報が流出したことを発表した。流出件数は不明。2016年1月15日~5月28日の間にクレジットカード情報を入力した顧客が対象。流出した可能性がある情報は、クレジットカード情報(クレジットカード番号/有効期限/カード名義)及び個人情報(住所/メールアドレス/電話番号)であると報告している。
9/6 株式会社グラフィック 「グラフィック」
株式会社グラフィックは運営するグラフィックのサーバへの不正アクセスにより、クレジットカード情報395件を含む個人情報8,985件の顧客情報が流出したことを発表した。2010年7月21日~2016年7月23日の期間中にクレジットカード決済サービスを利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(クレジットカード番号/セキュリティコード/有効期限)及び個人情報(会員ID)であると報告している。
同社はクレジットカード情報を保管している認識はないとしていたが、8月2日の調査会社の指摘により顧客情報データベースの決済ログに顧客のクレジットカード情報が保管されていたことが判明した。
9/15 株式会社アドプリント 「ADPRINT」
株式会社アドプリントは、運営するADPRINTのサーバーへの不正アクセスにより、クレジットカード情報を含む個人情報14,627件が流出した可能性があることを発表した。ADPRINTを含む同社の12サイトで2014年8月25日~2015年9月23日の間にカード決済を利用した顧客及び同社の関連7サイトで2016年5月20日~2016年8月14日の間にカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(カード名義/カード番号/有効期限/セキュリティコード)及び個人情報(住所/電話番号/メールアドレス)であると報告している。
9/30 東急ハンズ「Hands gallery market」
株式会社東急ハンズは運営するサイトHands gallery marketへの不正アクセスにより、クレジットカード情報を含む個人情報861件が流出した可能性があることを発表した。2016年1月4日~9月9日の期間中にサイトにて作品を購入した顧客が対象。流出した可能性がある情報は、クレジットカード情報(カード番号/有効期限)及び個人情報(氏名/電話番号/住所/購入情報)であると報告している。
10/3 株式会社エンファクトリー 「STYLE STORE」「COCOMO」
株式会社エンファクトリーは同社が運営するSTYLE STOREとCOCOMOへの不正アクセスにより、クレジットカード情報を含む最大38,313件の個人情報が流出した可能性があることを発表した。2013年4月1日~2016年7月27日の期間中にクレジットカードを登録/利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(番号/有効期限/カード名義)及び個人情報(氏名/住所/電話番号/メールアドレス)であると報告している。
10/31 株式会社ゼスト 「入学準備の専門店」
株式会社ゼストは、運営する入学準備の専門店への不正アクセスにより、クレジットカード情報を含む個人情報1,599件が流出した可能性があることを発表した。2016年1月1日~6月24日の期間中に同サイトにてクレジットカード情報を入力した顧客が対象。流出した可能性のある情報は、クレジットカード情報(カード番号/有効期限/カード名義)及び個人情報(住所/電話番号/メールアドレス) と報告している。
11/9 カゴヤ・ジャパン
カゴヤ・ジャパン株式会社は、同社が提供している契約情報データベースサーバーが不正アクセスを受け、サーバーに保管されていたクレジットカード情報20,809件を含む顧客の個人情報48,685件が流出した可能性があることを発表した。解約した場合も含め、2016年9月21日までに同サービスを利用した全ての顧客が対象となる。流出した可能性がある情報は、個人情報(氏名/住所/電話番号/メールアドレス/契約アカウント名/パスワード)及びクレジットカード情報(クレジットカード番号/有効期限)と報告している。
11/10 株式会社サンナチュラルズ 「サンナチュラルズオンラインショップ」
株式会社サンナチュラルズは、運営するサンナチュラルズオンラインショップへの不正アクセスにより、クレジットカード情報を含む6,159件の個人情報が流出した可能性があることを発表した。2014年4月1日~2016年7月21日の期間中に利用した顧客が対象。流出した可能性がある情報は、個人情報(氏名/住所/電話番号/メールアドレス)及びクレジットカード情報(クレジットカード番号/有効期限)であると報告している。
11/30 株式会社グリムスベンチャーズ 「ペットシア」
株式会社グリムスベンチャーズは、運営するペットシアへの海外からの不正アクセスにより、クレジットカード情報を含む個人情報1066件が流出した可能性があることを発表した。2016年1月4日~2016年9月1日の期間内にクレジット決済を新規で利用した顧客が対象。流出した可能性がある情報は、個人情報(氏名/住所/メールアドレス/電話番号)及びクレジットカード情報(クレジットカード番号/クレジットカード有効期限)であると報告している。
12/2 株式会社IPSA 「IPSA公式オンラインショップ」
株式会社IPSAは、運営するIPSA公式オンラインショップへの不正アクセスにより、クレジットカード情報5万6121件を含む個人情報42万1313件が流出した可能性があることを発表した。2011年12月14日~2016年11月4日にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、同サイトに登録している全ての顧客情報(氏名/性別/生年月日/年齢/職業/電話番号/メールアドレス/登録住所/配送先住所/ログインパスワード/購入履歴)及びクレジットカード情報(カード会員名/カード番号/住所/有効期限)であると方向している。
12/5 株式会社自重堂 「JCDオンラインショップ」
株式会社自重堂は運営するJCDオンラインショップのサーバへの不正アクセスにより、クレジットカード情報が流出した可能性があることを発表した。流出件数は不明。2014年5月1日~2016年3月31日の期間中にクレジット決済を利用した顧客が対象。
12/15 株式会社エイチエイチスタイル 「hhstyle.com」
株式会社エイチエイチスタイルは運営する家具通販サイトhhstyle.comへの不正アクセスにより、クレジットカード情報を含む個人情報99件が流出した可能性があることを発表した。2016年10月23日~11月8日の期間中にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、クレジットカード情報(クレジットカード番号/有効期限/セキュリティコード)と個人情報(カード会員名/カード会員住所)と報告している。
12/29 株式会社帆風 「バンフーオンラインショップ」
株式会社帆風は、運営するECサイトバンフーオンラインショップへの不正アクセスにより、クレジットカード情報835件を含む個人情報16,084件が流出した可能性があることを発表した。2016年9月17日~11月28日にクレジットカード決済を利用した顧客が対象。流出した可能性がある情報は、同サイトに登録している全ての顧客情報(氏名/住所/生年月日/勤務先/電話・ファックス番号/パスワード/本人確認の質問・回答/購入履歴)及びクレジットカード情報(番号/名義/有効期限/セキュリティコード)であると報告している。なお、同サイトでは2016年11月28日以降カードでの決済サービスを停止している。
情報流出を防ぐだけでなく流出後の対応の重要性
2016年の情報流出を調べてみて気が付くことがいくつかある。まず、情報流出というのは流出した企業が自発的に気が付くことがほぼ無いということだ。多くはクレジットカード会社からの指摘を受けてから気が付き、慌ててその対応に追われる。そして数日以内に脆弱性のあるバグを発見し除去。そして、警察へ通報・第三者調査機関(主にPCF)へ調査の依頼という流れになる。外部への公表はこの調査が完了する1ヶ月~2ヶ月後というのが通常のようだ。なぜ即座に漏洩の事実を公開しないのかという点も気になるが、クレジットカード会社等からの指摘で、混乱を防ぐため安全性の確保と証拠を揃えてから公開する必要があるというのが背景にあるようだ。
カード情報などの個人情報データ保護については、攻撃された脆弱なプログラミングを強化し、PCI-DSSに準拠した情報管理体制を構築することが主な対応策となっている。PCI-DSSとは、国際ブランドが共同で策定したデータセキュリティの国際基準である。
経済産業省は国際水準のクレジットカード取引のセキュリティ環境を整備するため、2020年に向けた具体的な目標・各主体の役割等を取りまとめた実行計画を2016年2月23日に発表した。その中で、EC加盟店におけるカード決済システムにおいては、カード情報がECサイト運営企業側のサイトを通過しない「非通過型」 を推進している。ECサイト運営企業側のサーバーを通過する「通過型」の場合、カード情報がECサイト運営企業側のサーバーを通過して処理さ れるため、ECサイト運営企業側のシステムにカード情報が保存されることがあり、外部から狙われるリスクが高いためだ。
今後も完全に情報漏洩を無くすことは難しい側面もあるだろう。もちろん上述したような万全の対策を講じることも重要だが、流出後に素早い対応を取るためのフローを事前に検討し、社内で周知徹底し、万全の体制を整えておくことが重要ではないだろうか。