1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. ネットショッピングにおける個人情報の取り扱い

ネットショッピングにおける個人情報の取り扱い

オンラインショッピングモールにおける個人情報対策として、8/30(火)、ヤフーは、出店者が顧客のクレジットカード情報を閲覧できないようにする仕組みを導入すると発表した。

これは、楽天市場やビッダーズに出店していた「AMC」(センターロード運営)から、クレジットカード情報を含む個人情報が流出した事件を受けてのものだ。

■意外と知られなかった大規模流出

7/23(土)に報じられた流出件数は当初123件。7/28(木)には284件。さらにマスコミからの追加の情報提供により、8/6(土)の段階で、累計で3万6239件流出していたと発表された。

・楽天の個人情報漏洩事件、被害件数が3万6000件に拡大--楽天以外の情報も(CNET Japan)

8月5日にマスコミから提供された追加情報をもとに調査したことで判明した。AMCの累計受注件数である約9万4000件のうち、約3分の1の情報が流出したことになる。
このうちクレジットカード番号が含まれるのは1万26件だ。同社ではすでにAMCでクレジット決済を行った約2万1000件の顧客に対して注意喚起の連絡をしており、クレジットカード番号が流出した顧客にもこの連絡をしているという。また、カード会社に対してクレジット情報の不正利用がないかどうか、監視(モニタリング)するよう依頼している。
なお、楽天によれば、マスコミから提供された情報には、楽天以外のサイトで購入手続きが行われたと思われる取引情報が少なくとも8545件含まれていたという。

不正アクセスか、内部の人間による流出か、詳しい経路は分かっていないが、どうやらクレジットカードの与信確認のフローに問題があったようだ。

出店する店舗は、個別にクレジットカード会社と代理店契約を結んでいる。顧客が楽天市場で買い物をすると、カード情報を含む名前、住所などの個人情報が楽天から店舗側に渡され、店舗は個別に契約するカード会社に決済承認を依頼して、与信を確認していた。AMCの事件では、その情報が流出したとみられている。

<参照記事=楽天カード情報流出事件関連>
・楽天市場店舗からカード番号含む個人情報123件が流出(ITmedia)

・「楽天市場」個人情報流出が拡大(ITmedia)


■「顧客の個人情報は店舗側に渡さない」が標準に

楽天が発表したセキュリティ強化策は「カード決済代行あんしんサービス」と呼ばれるもので、8/11(木)から稼動した。店舗とカード会社の契約は同じだが、カード決済の承認依頼を楽天がカード会社との間で行う。カード情報は店舗に渡らないので情報漏えいが起きても、深刻な被害はないということだ。

また、今年2月に開始したクレジットカード自動決済サービス「R-Card Plus」の導入も促進している。「R-Card Plus」は、楽天がカード会社と包括加盟契約を結び、一括して決済承認依頼を行うシステムで、店舗にはカード情報は渡らない。一方、店舗側にとっては、運用コスト高を余儀なくする面もある。

●決済情報処理サービス(電文中継型)
モール側はクレジットカード会社への認証だけを代行するサービス。カード会社との加盟店契約は各店舗が独自に行う
●クレジットカード決済サービス(代表加盟店型)
モール側が代表してカード会社と加盟店契約を結び、全てのカード決済処理を代行するサービス


楽天の対策は、まず上記の1つ目を導入し、全ての店舗に2つ目のサービスに移行してもらうというスタンスだ。一方、ヤフーの発表した対策は、上記いずれかを選択できるというスタンスのようだ。

顧客のメールアドレスについては、楽天が店舗側にメールアドレスが渡らないシステムを採用するのに対して、ヤフーは、メールアドレスを出店者が見られないようにする予定はないそうだ。

ちなみに、ビッダーズを運営するDeNAも、8/19(金)、個人情報の流出対策を発表している。こちらも基本的には、ヤフー近い内容といえる。

このように、顧客のクレジットカード情報の取り扱いについては、「モール運営者から出店者側には提供しない」というのが、標準となりそうな流れである。オンラインショッピングによる取引が増加する中、モール運営者は「個人情報流出対策」と「店舗側に利用を認める個人情報」の双方に配慮しながら、「よりセキュアな取引環境」を提供していくことが求められてくる。いずれにせよ、店舗や顧客の負担をどれだけ小さく抑えられるか、新しいセキュリティ対策が成功するかどうかは、その点にかかってくると言えるだろう。

<参照記事>
・【特報】楽天・三木谷社長がカード流出対策発表、店舗の理解は得られるか(@IT)

・ヤフーも出店者がカード情報を閲覧できない仕組みを導入(CNET Japan)

・DeNA、ビッダーズのカード番号管理など流出対策を発表--例外店舗認める(CNET)

関連キーワード:

ネットショッピング

  • サラミ技術とは
  • カテゴリートップへ
  • パスワードによる認証の限界!?