株式会社ソニー・ミュージックソリューションズは2月16日、2025年2月21日に公表した「Sony Music Shopサイト」での個人情報流出について、調査結果を発表した。
「Sony Music Shopサイト」では2025年2月13日に、アクセス集中時の負荷対策と速度向上を目的として「キャッシュ機能」を導入したが、同機能の設計および事前確認に不備があったため、複数の顧客が同時に新規会員登録を行った場合に限り、会員登録画面上に入力のあった内容が他の顧客の画面に表示される可能性がある状態となっていた。
また、新規会員登録時に外部サイトアカウント連携(Amazonアカウント、楽天ID)の利用を申し込んだ顧客について、連携処理に誤った紐づきが発生し、他の顧客の会員情報と外部アカウントが結び付いてしまう状況が発生し、本人とは異なる他の顧客の「My Page」にアクセスできてしまう状況となっていた。
流出した個人情報はそれぞれ下記の通り。
1.新規会員登録画面に入力した情報が他の顧客にそのまま表示された可能性のある事象
発生期間:2025年2月13日6:23~2月20日17:55
対象ページ:新規会員登録(入力画面)
影響を受けた顧客:
情報を閲覧された可能性のある顧客:21名
情報を閲覧した可能性のある顧客:21名
表示閲覧できた可能性のある個人情報:氏名(漢字)、氏名(フリガナ)、メールアドレス、郵便番号、都道府県、市区町村、丁目・番地・号、建物名、部屋番号、電話番号、性別、生年月日
2.外部サイトアカウント連携情報が誤って紐づいてしまい別の顧客の会員情報にアクセスできてしまった事象
発生期間:2025年2月13日6:23~3月5日20:34:08
影響を受けた顧客:
会員情報にアクセスされた顧客:5名
会員情報にアクセスできてしまった顧客:5名
アクセスできた個人情報:
Sony Music Shopサイト上部にログイン後表示される氏名、保有ポイント
My Pageに掲載している各種情報(カスタマーデスクからのお知らせ、出荷完了通知、注文履歴一覧、ポイント通帳、氏名(漢字)、氏名(フリガナ)、メールアドレス、郵便番号、都道府県、市区町村、丁目・番地・号、建物名/部屋番号、電話番号、性別、生年月日、クレジットカード番号下4桁、クレジットカード有効期限、クレジットカード名義
同社では対象の顧客に、個別に謝罪の案内を行っている。
同社では原因について、Sony Music Shopのアクセス集中負荷軽減および最適化を目的としたシステム改修作業の中で、担当者間の作業範囲や役割分担に認識のずれが生じたことで発生したとしている。
同社では、再発防止に向けた取り組みの確実性を高めるため、外部の専門会社による評価を受け、その結果をもとに業務改善を進めており、改善状況の定期的な確認を通じて、管理体制の強化と再発防止の徹底に努めるとのこと。
