AMC、個人情報流出事件 - EC事件簿(2)
[2005月08年11日]
(吉村 正春 / 週刊e-Report編集部)
未曾有の情報流出事件
個人情報の中でも、ユーザーの不利益に繋がりやすい情報のひとつといえば、「クレジットカード番号」があげられるだろう。先日、米国において大規模なクレジットカード情報流出事件が起き、日本国内でも不正利用されたが、日本でもクレジットカード情報流出事件が起きた。
楽天とビッダーズに出品しているAMC(運営センターロード)の顧客情報が流出していたのである。現在この事件に関係してくるセンターロード、楽天、ビッダーズの3社がそれぞれに情報を発信しており、いまいち事態が見えにくくなっているので、まずは何が起きているのか、時系列で追ってみる。
7月23日 楽天、楽天市場に出店している「AMC」の個人情報が流出していることを発表。流出内容は、顧客の住所、氏名、電話番号、メールアドレス、購入商品、生年月日、クレジットカード番号。流出件数は、123件。
7月28日 楽天、再調査の結果、流出件数は284件と発表。楽天内部から流出した可能性は限りなく低いと主張。
7月28日 センターロード、今回の件に関して、流出経路は未だ未確定と発表。
7月30日 センターロード、漏洩先の特定には至っていない、と発表。同時に「退社社員、派遣社員・パート・アルバイトを含む全ての弊社と雇用関係を結んでいた人材、全てを洗い出し検討した結果、弊社よりの人為的要因から漏洩した事とは思えない」「セキュリティに関しては最高レベルに近いシステムをもち、スパイウェア対策、ウイルス対策を講じている」と主張。
8月4日 センターロード、ウイルスバスターのログ解析の結果、スパイウェアの存在、及び駆除の形跡も確認されていない、と発表。流出経路は未だ未確定。
8月6日 楽天、流出情報が全てAMCのものであることを確認したと発表。流出件数は全36,239件(内クレジットカード番号の流出は10,026件)また、楽天以外のサイトでの購入と思われる取引情報が、8,545件含まれていた。
8月9日 ディー・エヌ・エー、流出情報の中に「AMC」ビッダーズ店の顧客情報8,456人分が含まれていたと発表。クレジットカード番号は含まれていない。
AMCの2店舗分(楽天、ビッダーズ)の情報が流出していることから言えば、それぞれから情報流出したとは考えづらい。楽天からAMCの情報だけ流出しました。時を同じくして、奇遇にもビッダーズからもAMCの情報が流出しました、ってことは、普通に考えてあり得ない。
やはりAMC側から何らかの形で流出したと考えるのが自然だろう。それが内部犯による人為的な原因なのか、不正アクセスによるものか、それは現時点では判らない。
カカクメソッドの功罪
現実問題として、AMCの顧客約36,000人分の個人情報が流出したのである。だが、それについて、どこが流出元なのか、いまだに分かっていないし、サイト上でその究明の進捗が報告されてもいない。
この手の対応で思い出されるのが、サイトをクラックされた「価格.com」のケースである。このときは、クラックされた価格.comサイトを訪れた数多くのビジターがウイルスに感染してしまったが、価格.comは、「十二分なセキュリティは行われていた」として、サイトは一時閉鎖したものの、ユーザーに対しての何かしらの補償や賠償は行われなかった。価格.comはあくまでも被害者と言う立場を堅持したのである。
またクラック手法に対しては、「模倣犯を産む」という理由から一切報道されていない。原因はいくつか推測されているものの、もちろんそれが当たっているかどうかは不明である。
クラックの模倣犯はさておき、このときの価格.comの対応は、数多くのフォロワーを産んだ。今回のAMCの対応もまさにこれを踏襲しているように見える。補償については触れられず、流出経路も藪の中である。ほとぼりが冷めるのを待っているように受け取られても仕方がない。
果たしてこのやり方が通用するのか、といえば、決して通用していないと思うし、通用させてはならない。なんら説明責任を果たしていないばかりか、責任の所在ですら、関係会社で押し付けあったりして、被害にあったユーザー、あるいは楽天・ビッダーズに出店している他のオーナーに安心を与えようとする気配もない。ひたすら、うちは悪くないですよ、と自己弁明していることに終始している。一体、誰のためのサイトなんだろうか。
このような手法、いわゆる「カカクメソッド」と対極の対応をしたのが「ジャパネットたかた」である。
あのときは元社員が個人情報を盗み出して名簿業者に売り払ったが、ジャパネットたかたの反応は早かった。事件が発覚してすぐにテレビ・ラジオの通販番組を自粛した。自粛期間は50日に及び、約150億円の減収となったが、この思い切った対応は概ね好意的に評価された。少なくとも、ジャパネットたかたに、情報流出を隠蔽した企業と言うイメージは抱いている人間は皆無であろう、と感じている。
ユーザーの身に立った対応を
自身のリスクヘッジを考える前に、まずユーザーの身になって行動を起こすことが重要ではないかとあらためて思う。一時的な損失は出るだろうが、ユーザーの信頼度には代えられない。ネットは知識が堆積していき、検索エンジンによって簡単に過去が掘り起こされる。ネットにおいて広がった悪評を消すのは容易ならざることであることを知っておきたい。
なお、AMCの本サイトは現在も営業を続けている。これが果たして情報が流出してしまったユーザーの目にどのように映るだろうか。
