楽天グループは12月25日、クラウド型営業管理システムへの社外の第三者によるアクセスがあったことを発表した。楽天が保有する「楽天市場」の店舗情報、出店資料請求企業の情報、楽天カードの事業者向けビジネスローン申込者情報、楽天Edyの故障した端末の残高移行サービス申込者情報の最大148万6291件に不正アクセスの可能性がある。ただ、12月25日の発表時点でアクセスが確認できたのは614件だという。
楽天グループでは11月24日、社外のセキュリティ専門家の指摘により、クラウド型営業管理システムに保管している一部の情報が、社外の第三者からアクセスできる状態であったことが判明した。同日、社内のセキュリティ専門部署が中心となり、楽天、楽天カード、楽天Edyにおける対応を開始し、11月26日までにシステムの設定変更を完了し、社外の第三者からのアクセス状況について調査を実施。システムの設定変更後は、社外の第三者からのアクセスは確認されておらず、現時点では法人・個人の顧客への被害は確認されていないという。
不正アクセスの原因は社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備。各社で情報が閲覧された可能性がある法人・個人の顧客には、今回の概要および被害に遭った際の問い合わせ先を伝えている。社内調査結果をもとに、楽天カード、楽天Edyより各監督官庁へ、当社より個人情報保護委員会へ報告を行った。
不正アクセスの可能性がある情報の詳細は以下の通り。
■楽天
項目: 一部の出店見込/契約済事業者の企業名、店舗名、住所、代表者名、担当者名、電話番号、Fax番号、メールアドレス、営業対応情報等
可能性があった期間: 2016年1月15日(金)-2020年11月24日(火)
可能性があった最大件数: 1,381,735件(うち、現時点でアクセスが確認された件数: 208件)
■楽天カード
対象顧客: 2013年4月1日(月)-2020年7月18日(土)に、ホームページよりビジネスローンをお申込されたお客様
※お電話にて申込んだ顧客は含まれない。楽天カード(楽天ビジネスカード含む)会員情報は、別のシステムにて管理しているため、影響はない。
項目:法人または個人事業主: 名称、住所、メールアドレス、売上高、売上原価、借入状況、法人口座(銀行名・支店名・口座番号・名義)等
代表者: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、借入状況、勤続年数、運転免許証番号、個人口座(銀行名・支店名・口座番号・名義)、年収等
保証人: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、勤務先(名称、住所、電話番号)、運転免許証番号等
融資希望: 金額、開始日、期間、返済方法、資金使途、利率、審査結果等
※顧客によって、入力情報は異なる。
可能性があった期間: 2016年1月15日(金)-2020年11月26日(木)
可能性があった最大の法人・個人事業主数: 15,415件(うち、現時点でアクセスが確認された件数: 304件)
■楽天Edy
項目: 氏名、故障端末の電話番号、Edy番号等
※顧客によって、入力情報は異なる。
対象となる端末とサービス申請期間:
- 「おサイフケータイ®」機能付き携帯電話 2010年10月1日(金) -2019年3月4 日(月)
- docomo select「おサイフケータイ® ジャケット01」 2014年10月30日(木) -2020年11月18日(水)
- ソニー製ハイブリッド型スマートウォッチ「wena™ wrist」シリーズの一部 2016年3月24日(木) -2020年11月18日(水)
可能性があった期間: 2016年1月15日(金)-2020年11月26日(木)
可能性があった最大の申込者数: 89,141件(うち、現時点でアクセスが確認された件数: 102件)
再発防止策として社外のクラウド型営業管理システムの利用に対するセキュリティ管理の強化、定期的な見直しなどを実施し、再発防止に努めるという。
