ニュース

楽天、顧客情報に不正アクセスの可能性。最大148万件

楽天と楽天カード、楽天Edyは25日、顧客情報の一部に不正アクセスがあったと発表した。11月26日までに対策を完了し、社外の第三者からのアクセス状況について調査を行なっている。

第三者からのアクセスの可能性があった情報は、「楽天市場」への法人向け資料請求者と店舗情報が最大138万1,735件、楽天カードの事業者向けビジネスローン申込者情報が最大15,415件、楽天Edyが、故障した端末の残高移行サービス(Edyレスキューサービス)申込者情報で、最大8万9,141件。合計148万6,291件。

11月24日に、社外のセキュリティ専門家の指摘により、社外のクラウド型営業管理システムに保管された一部の情報が、第三者からアクセスできる状態であったことが判明。同日から対応を開始し、同システムの設定変更を11月26日までに完了した。

「楽天市場」で対象となるのは、法人向け資料請求者と店舗情報。一部の出店見込/契約済事業者の企業名、店舗名、住所、代表者名、担当者名、電話番号、Fax番号、メールアドレス、営業対応情報など。期間は2016年1月15日から2020年11月24日で、可能性があった最大件数は1,381,735件。うち、現時点でアクセスが確認された件数が208件。

楽天カードで不正アクセスの可能性があるのは、事業者向けビジネスローン申込者情報で、2013年4月1日から2020年7月18日に、ホームページからビジネスローンを申込みした人が対象(電話での申込みは対象外)。項目は、法人・個人事業主の名称や名称、住所、メールアドレスなどのほか、売上高、売上原価、借入状況、法人口座、融資希望の金額、開始日、期間、返済方法、資金使途、利率、審査結果等など。

不正アクセスの可能性があった期間は2016年1月15日から2020年11月26日、可能性があった最大の法人・個人事業主数は15,415件で、現時点でアクセスが確認された件数は304件。

楽天Edyは、故障した端末の残高移行サービス(Edyレスキューサービス)の申込者情報。項目は、氏名、故障端末の電話番号、Edy番号など。対象となる端末とサービス申請期間は、「おサイフケータイ」付き携帯電話が2010年10月1日から2019年3月4日、docomo select「おサイフケータイ ジャケット01」が2014年10月30日から2020年11月18日、ソニースマートウォッチ「wena wrist」シリーズの一部が2016年3月24日から2020年11月18日。

不正アクセス可能性があった期間は2016年1月15日から2020年11月26日。可能性があった申込者数は最大89,141件で、現時点でアクセスが確認された件数は102件。

原因は、社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備で、対応は完了。楽天市場、楽天カード、楽天Edyの各サービスにおいて、法人・個人の顧客に対し、本件の概要や被害時の問い合わせ先の案内などを行なっている。また、社内調査結果をもとに、楽天カード、楽天Edyから各監督官庁へ、楽天から個人情報保護委員会へ報告を行なった。