| 2009.11 無料公開記事 | ▲TOP PAGE |
カード情報は5万2000件、メルアドは15万件が流失した ようやく今後の対応が決められる状況に ――顧客の個人情報が流出したと9月4日に公表されてから、1カ月が立とうとしています(※取材日は9月下旬)。現在の状況はどうですか。 これまではまず、どういう状況が起きているのかという情報収集をする時間でした。語弊がありますが、こういうことには不慣れなもので、1つ1つ初めての経験でした。ひとしきりコールセンターにはお客様からどのようなお問い合わせが来るのかなど情報収集をしようと。ただ、まだそれさえも一生懸命、集計している途中で作業もまだ全部、まとまったわけではありません。間もなくそのあたりの状況が揃って、これからどうやって対応していこうか決められる状況になりつつあるというところです。 ――最終的にどのくらいの数の個人情報が流出したのでしょうか。 9月25日に調査を依頼していたセキュリティ専門会社から最終報告を受けました。その結果、クレジットカード情報は有効期限切れカードを含み5万2,196件。メールアドレス情報は15万783件でした。 ――クレジットカード情報も流出しています。カードの不正使用等で実被害が出ている方もいるのでしょうか。 それについてはカード会社さんしか分からないです。お客様からそうした質問が来た際、我々もカード会社に尋ねるのですが、我々には情報開示はしません。ですからお客様にも直接、カード会社に聞いて欲しいとお願いしています。 ――不正アクセスによる個人情報流出は御社だけの問題ではなく、どの通販サイトにも起こり得る重大な問題です。改めて個人情報が流出した経緯を伺いたいのですが。 6月29日にクレジットカード会社から、当社のサイトで商品を購入されたお客様のクレジットカードが他店で不正利用されているかも知れない、という一報がありました。そこで社内の担当部署で調査をしたところ、特に問題がないようだった。 ――でも実際にはこの時点で「SQLインジェクション」による不正アクセスで個人情報は流出していた。 そうです。ただ、その当時は分からなかった。カード会社さんにその時、言われたのは、そのカード会社さんが把握されていたカードの不正使用の情報の中に「デジタルダイレクトで商品を購入した経験のあるお客様も含まれていますよ」というものだった。 これは当社から個人情報が流出していることとは別の話だ。クレジットカードは当然、複数のお店で使用されるもの。つまり、少なくともこの時点では当社ではなく、他のお店で漏えいしたのかも知れないし、もしかしたらスキミングされた可能性も否定できなかった。(カード会社が持っているカードの不正使用情報)全体の件数の中で多くを当社の顧客が保有するカードが占めていれば、「それはまずい」とすぐに対応できたがその量が多いのか少ないのかという情報に関して、何度も教えていただけるようにお願いしたのですが、個人情報の絡みもあり、教えてもらえず、わかりませんでした。とにかく「含まれてますよ」と。 正直、どうにも判断がつかなかった ――可能性の段階だとしてもその時点でしっかりとした調査はできなかったのでしょうか。 当社に限らず、その段階で本格的な調査を行うのは難しいと思う。セキュリティ専門会社にログ解析などを依頼する場合、ログの量にもよりますが、1,000万円くらいの費用がかかってくるわけです。そして調査の結果、結局、何も出てこなかったという可能性もあるわけです。資金力のある大手の企業はその都度、調査をしても大丈夫だと思います。ただ、EC業界でこうした対応が日常茶飯事になってしまったら、大変なことになると思うんですよ。ネット販売事業者の多くはそれほど規模の大きな事業者さんばかりではありません。我々としてもECの利益だけで言ったらそれほど大きくはありません。ですので、危険度を判断する上でカード会社さんが持っている情報を確かめたかった。この6月の情報だけでは、とても対応できなかったのが正直なところです。ましてサイトを休止してでも(調査を徹底的に)やるべきなのかという判断はとてもつかなかったです。 ――その後、再度、カード会社からの注意を促す通知があった。 そうです。8月11日でした。この時も詳しい内容は分かりませんでしたが、2回目でしたので危険度が高いだろうと。我々は大慌てで、不正アクセスなどがあった際に記録が残るようなセキュリティ対策を急遽、追加で行いました。すると、17日に不正な攻撃を受けたことが確認されました。それで個人情報が流出しているのかどうかは別にしても少なくとも狙われていると。そこで20日の午前中には通販サイトを休止して、そこから先の流出はないようにしました。 "公表のタイミング"難しい、駆け込みの"不正"招く 業界を挙げて取り組むべき ――通販サイトをもっと早く休止しておけば個人情報の流出の数は抑えられたのではないでしょうか。 個人情報を甘くみてるとか、そういったことは全くないのですが、やはり、流出しているかどうかの危険度の判断ができない「可能性」の段階で、例えば月に1回、サイトを止めていたのではとても事業としてなりたちません。当社に限ったことではありませんが、通販サイトは単に自社で商品を販売する役割だけでなく、個人や法人とのアフィリエイト契約などもあります。繰り返しになりますが、仮にサイトを止めて、調べてみた結果、何もなかった場合、先ほど言った調査費用や休止による販売機会のロス、さらにアフィリエイト契約をしている相手に大変な迷惑がかかります。ですので、通販サイトを休止するという判断は大変、難しいわけです。 ですから私は今回の件を受けて、強く思うのですが、他の通販企業と協力してこうした事態から何か変えていかねばならないと。例えば、カード会社さんからの情報提供に関しても業界挙げて交渉して明確なものを出して頂きたい。通販事業者が「どのくらいの危険度なのか」と判断できるものを提供頂かないと、ネット販売市場全体が危険な状態になると思う。 ――個人情報流出という事態を把握してから、9月の公表まで間がありますが、もっと早く公表しようとは思わなかったのでしょうか。 当初はもっと早く公表しようと思ったのですが、そうすると「駆け込みの不正アクセスがある」という話を聞いて背筋が凍った記憶があります。危なく不正使用の駆け込みを誘導してしまうような寸前まで行ってしまいました。 ――被害額はどの位に。 一番、当社として恐れているのは、この件でお客様の信用を失い、売り上げが低下することです。そうなれば会社の危機です。ただ、今の段階ではそこまでは行っていない。後はカードの不正被害がカード会社さんから請求が来れば、その金額が増えるかも知れないがまだわかりません。 ――サイト休止に伴う販売機会のロスもありそうだ。 それはあると思う。ネットの注文を電話受注などに移す等の対策を行っているので、すべての販売機会をロスしているわけではないと思うが、ロスはあると思う。少なくともネットでの売り上げが全部、カバーできているとは思っていません。季節変動などで何とも言えませんが、感覚では通常のネット売り上げの半分もカバーできていないと思います。 ――サイトの復旧はいつに。 安易にはできません。現在、様々な対策を検討中です。お客様に今度こそ、迷惑をかけないと自信を持ってから復旧したいです。 ――今年いっぱいは難しい。 復旧まで年内いっぱいはかけたくないですが、すぐに来月にというわけにはいかない。やり方として従来まではパッケージを買い取って自社でサイトを運営してきましたが、これをやめて、例えばセキュリティの高いASPでサイトを開くなどの方法を採れば少しスピードは速まるかも知れません。 ――今回の事態を招いた原因はセキュリティ対策の甘さだったのでは。 結果的に個人情報が流出するという事態を招いたために申し開きできないが、我々なりに対策は行ってきた。とは言え、不正アクセスで情報をとられる企業と、そうはなっていない企業があるわけで、その一社になるかならないかという境目はあったと思う。社員一同で反省し直さないと思っている。 ――最後に今回の個人情報の流出を受けて、感じたことを教えてください。 不正アクセスを防ぐことや対応が非常に難しい。不正アクセスは手法も進化しており、常にセキュリティ対策の最新の手法を研究する必要があると思う。ただ、通販業界のすべての会社ができるとは思えません。しかし、セキュリティ対策の優先順位はあげるべきでしょう。少なくともこのラインまでは必ずやった上で商売を行うと。そしてそのラインは通販企業がビジネスを営みやすくかつ、お客様とも調和できるセキュリティレベルを何か業界全体で考えていく必要がある。各通販企業が個別に費用を払ってやっていくということを超えた"何か"が必要だと今回、思いました。
|