ヤマダ電機で大規模な情報流出がおきました。
公式サイトヤマダ電機公式サイトのお詫び文
流出期間は2019年3月18日〜2019年4月26日で、
流出が発覚したのが2019年4月16日。
公式サイトでお詫び文を公表したのが、
2019年5月29日。
事件発覚から公表までに約1ヶ月。
現在の被害状況や対応の内容、
なぜ公表までに1ヶ月もの間を空けたのかについて見ていきます。
目次
ヤマダ電機が個人情報を流出させてしまった原因
今回の情報流出の原因は、
「ヤマダウエブコム・ヤマダモール」
というヤマダ電機が運営する通販サイトが不正アクセスを受けたから。
このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流出した可能性があることが2019年4月16日に判明いたしました。
最近よくある内部の人間による持ち出しではなかった様子。
ピンポイントでクラッカーに情報を狙われた場合、
全ての不正アクセスから情報を守るのは至難の技です。
ヤマダ電機ほど大きい企業になると、
ピンポイントで狙われるケースもあるため、
個人的には情報を取られてしまったことは仕方ないというか、
これを教訓に更に強いセキュリティ対策を編み出してほしいと願うばかりですが、
公表するのに1ヶ月の時間をおいたのが気に入りません。
空白の1ヶ月の間にできた対策もあっただろうに・・・
個人情報流出の対象者と被害状況
個人情報流出の対象者
今回、個人情報が流出した可能性があるのは以下の人です。
2019年3月18日~2019年4月26日の期間に「ヤマダウエブコム・ヤマダモール」で新規クレジットカード登録、及びクレジットカード登録の変更をされたお客様
現在の被害状況
現在の被害状況は最大37,832件。
クレジットカード情報が流出した可能性があり、
氏名や住所といった情報に関しては流出していないとのことです。
具体的には以下の内容が流出したそうです。
- クレジットカード番号
- 有効期限
- セキュリティコード
一部のカードでは既に不正利用が確認されているそうです。
ヤマダ電機・・・
流出発覚してからすぐに注意喚起すれば、
いくらかの不正利用を防げたかもしれないのに・・・
なぜ1ヶ月あけた・・・!
情報流出への対応
事実発覚から状況公開まで約1ヶ月。
この1ヶ月は、
問題となっているサイト上で
クレジットカードの登録・変更を停止する措置に加え、
提携している第三者調査期間による実態調査にあてられていたようです。
同時に、第三者調査機関「P.C.F.FRONTEO株式会社」による調査も開始いたしました。2019年5月20日、調査機関による調査が完了し、2019年3月18日~2019年4月26日の期間に「ヤマダウエブコム・ヤマダモール」で新規クレジットカード登録、及びクレジットカード登録の変更をされたお客様のクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
また、一方で流出の可能性があるクレジットカード会社と連携して、
不正利用のモニタリングと不正利用の防止対策を行なっているようです。
情報流出の賠償内容
今回、クレジットカード情報が流出した人に対する
お詫びの品や金銭といった賠償は行わないようです。
以前、ベネッセで同規模の個人情報流出が起きた際は、
少額ながら、流出の可能性がある全員に対して金券が出されていましたので、
今回もそうなるのかなと思ったのですが、
人数が多いので対応しきれないという判断でしょうかね?
ただし、クレジットカードの再発行を希望する人に対しては、
カード再発行にかかる手数料はヤマダ電機が負担するとのことです。
ヤマダ電機が個人情報流出を公表・対応に遅れた理由
ヤマダ電機は、
事実発覚から公表までに時間がかかったことに対して、
以下のようにコメントしています。
2019年4月16日情報漏洩の可能性は判明しましたが、正確な状況を把握しない段階で公表することは却って混乱を招くこととなることから、「ヤマダウエブコム・ヤマダモール」での新規クレジットカード登録、及びクレジットカード情報の変更を停止させて頂き、詳細調査を依頼している第三者調査機関の最終報告書をもって報告する事とさせていただきました。調査に時間がかかり、情報公開が遅れた事につきましても、深くお詫び申し上げます。
まぁ、これだけ大きな規模の流出となれば一理ありますね。
注意喚起して何事もなかった場合、
「何もなくてよかった!」と言える人もいれば、
「何もなかったのに人騒がせな!」と言う人もいますからね・・・
ヤマダ電機はクレジットカード会社とも連携して
カード不正利用防止対策も行なっているようなので、
公表までに時間がかかったとはいえ、
最大限にできる対応を行なったと言えるでしょう。
