楽天株式会社、楽天カード株式会社、楽天Edy株式会社は12月25日、社外のクラウド型営業管理システムに保管された一部の情報に対する社外の第三者からのアクセスを確認したと発表した。
これは11月24日に、社外のセキュリティ専門家から、社外のクラウド型営業管理システムに保管された一部の情報が社外の第三者からアクセスできる状態である旨の指摘があり判明したというもの。社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備が原因。
当該システムに対するアクセス状況について調査を行ったところ、現時点で楽天および楽天カード社、楽天Edy社が管理する一部の情報に、社外の第三者による海外からのアクセスがあったことを確認している。
社外の第三者からアクセスの可能性があったのは 2016年1月15日から2020年11月26日までの期間で、それぞれ下記の情報。
・楽天株式会社
「楽天市場」への法人向け資料請求者および店舗情報
項目: 一部の出店見込/契約済事業者の企業名、店舗名、住所、代表者名、担当者名、電話番号、Fax番号、メールアドレス、営業対応情報等
可能性があった最大件数: 138万1,735件(うち現時点でアクセスが確認された件数:208件)
・楽天カード株式会社
事業者向けビジネスローン申込者情報
対象となる顧客: 2013年4月1日から2020年7月18日にWebサイトよりビジネスローンを申込した顧客
項目:
法人または個人事業主: 名称、住所、メールアドレス、売上高、売上原価、借入状況、法人口座(銀行名・支店名・口座番号・名義)等
代表者: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、借入状況、勤続年数、運転免許証番号、個人口座(銀行名・支店名・口座番号・名義)、年収等
保証人: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、勤務先(名称、住所、電話番号)、運転免許証番号等
融資希望: 金額、開始日、期間、返済方法、資金使途、利率、審査結果等
可能性があった最大の法人・個人事業主数: 15,415件(うち現時点でアクセスが確認された件数:304件)
・楽天Edy株式会社
故障した端末の残高移行サービスの申込者情報
項目: 氏名、故障端末の電話番号、Edy番号等
対象となる端末とサービス申請期間:
「おサイフケータイ」機能付き携帯電話 2010年10月1日から2019年3月4日
docomo select「おサイフケータイ ジャケット01」 2014年10月30日から2020年11月18日
ソニー製ハイブリッド型スマートウォッチ「wena wrist」シリーズの一部 2016年3月24日から2020年11月18日
可能性があった最大の申込者数: 89,141件(うち現時点でアクセスが確認された件数:102件)
11月24日に楽天社内のセキュリティ専門部署が中心となり、楽天カード社、楽天Edy社における対応を開始し、当該システムの設定変更を11月26日までに完了している。
同社らは情報が閲覧された可能性がある法人・個人の顧客に対し、本件の概要および被害に遭った際の問い合わせ先の案内等を行っている。
また、社内調査結果をもとに楽天からは個人情報保護委員会、楽天カード社、楽天Edy社からは各監督官庁へ報告を行っている。
楽天グループでは今後、社外のクラウド型営業管理システムの利用に対するセキュリティ管理の強化と定期的な見直し等を行い、再発防止に努めるとのこと。
これは11月24日に、社外のセキュリティ専門家から、社外のクラウド型営業管理システムに保管された一部の情報が社外の第三者からアクセスできる状態である旨の指摘があり判明したというもの。社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備が原因。
当該システムに対するアクセス状況について調査を行ったところ、現時点で楽天および楽天カード社、楽天Edy社が管理する一部の情報に、社外の第三者による海外からのアクセスがあったことを確認している。
社外の第三者からアクセスの可能性があったのは 2016年1月15日から2020年11月26日までの期間で、それぞれ下記の情報。
・楽天株式会社
「楽天市場」への法人向け資料請求者および店舗情報
項目: 一部の出店見込/契約済事業者の企業名、店舗名、住所、代表者名、担当者名、電話番号、Fax番号、メールアドレス、営業対応情報等
可能性があった最大件数: 138万1,735件(うち現時点でアクセスが確認された件数:208件)
・楽天カード株式会社
事業者向けビジネスローン申込者情報
対象となる顧客: 2013年4月1日から2020年7月18日にWebサイトよりビジネスローンを申込した顧客
項目:
法人または個人事業主: 名称、住所、メールアドレス、売上高、売上原価、借入状況、法人口座(銀行名・支店名・口座番号・名義)等
代表者: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、借入状況、勤続年数、運転免許証番号、個人口座(銀行名・支店名・口座番号・名義)、年収等
保証人: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、勤務先(名称、住所、電話番号)、運転免許証番号等
融資希望: 金額、開始日、期間、返済方法、資金使途、利率、審査結果等
可能性があった最大の法人・個人事業主数: 15,415件(うち現時点でアクセスが確認された件数:304件)
・楽天Edy株式会社
故障した端末の残高移行サービスの申込者情報
項目: 氏名、故障端末の電話番号、Edy番号等
対象となる端末とサービス申請期間:
「おサイフケータイ」機能付き携帯電話 2010年10月1日から2019年3月4日
docomo select「おサイフケータイ ジャケット01」 2014年10月30日から2020年11月18日
ソニー製ハイブリッド型スマートウォッチ「wena wrist」シリーズの一部 2016年3月24日から2020年11月18日
可能性があった最大の申込者数: 89,141件(うち現時点でアクセスが確認された件数:102件)
11月24日に楽天社内のセキュリティ専門部署が中心となり、楽天カード社、楽天Edy社における対応を開始し、当該システムの設定変更を11月26日までに完了している。
同社らは情報が閲覧された可能性がある法人・個人の顧客に対し、本件の概要および被害に遭った際の問い合わせ先の案内等を行っている。
また、社内調査結果をもとに楽天からは個人情報保護委員会、楽天カード社、楽天Edy社からは各監督官庁へ報告を行っている。
楽天グループでは今後、社外のクラウド型営業管理システムの利用に対するセキュリティ管理の強化と定期的な見直し等を行い、再発防止に努めるとのこと。
