楽天市場店舗からカード番号含む個人情報流出2

 楽天からの情報流出に関して、楽天自身の発表によれば、
新たな情報は、全てご連絡済みの店舗(株式会社センターロード、代表取締役 嶋田信弘 本社:東京都足立区 店舗名:AMC http://www.rakuten.co.jp/amcamc/ )一店舗に限られ、その他の店舗については確認されておりません。

これまで調査したところでは、弊社内部から流出した可能性は限りなく低いとの結論に達しています。

一方、楽天内のAMCのページでは現在のところ、スパイウェア等に代表されるサイトへの不正アクセスによるものなのか、楽天市場関係会社によるものなのか、弊社内よりの流出によるものなのか特定ができていない…としている。

 責任の擦り合いのチキンレースのようにも見えるが(^^;;;)

楽天の情報流出、加盟店でのカード情報管理体制が明らかに ITProニュース 2005/07/26 本間 純=日経コンピュータによれば;
楽天市場の加盟店「AMC」を利用した顧客の個人情報が流出した事件(楽天の発表、関連記事)で、AMCがクレジットカード情報をどう扱っていたかが明らかになった。AMCは楽天市場の店舗管理システムから、CSV形式の表計算ファイルとしてカード情報を含む顧客情報を一括ダウンロードしていた。情報の流出経路は不明だが、このファイルが何らかの形で外部に漏れ出した可能性が高い。

 楽天市場の加盟店は、商品の在庫管理や注文情報の確認のために楽天市場の店舗管理システムを使っている。これまで、顧客カードの与信確認は、楽天側ではなく、加盟店側で行うのが一般的だった。多くの加盟店はこのシステムを使って取引ごとに顧客のカード番号や有効期限を入手し、決済端末などを使って与信確認している。
 しかし、取引の多い一部の大規模店舗は電子モール運営元の楽天から特別な審査を受けた上で、自社の顧客のカード情報を一括ダウンロードする権限を得ている。自前の与信確認システムにカード情報を一つひとつ入力する手間を省くためだ。AMCも、こうした権限を持つ加盟店の1社だった。

 CSV形式の表計算ファイルつーことはプレーンテキストかぃ!
それで顧客情報のコピー配布って、どういう設計なんだろうか

 ここから漏れたのでないにせよ、そういうデータの扱いをやっていたという責任自体は決して言い逃れられることではなかろう。「システム切り替え中だったんで」なんて言い訳にもならんよ。


以下余談。

「取引の多い一部の大規模店舗」用の特例だったようだが、問題のAMCというのはどんな会社なのかな?と思ってぐぐってみた。

 AMCの広告がここにあるが、
社長いわくは「私共の本社はアメリカなんです。ご存知の通りアメリカでは日本以上に通信販売が盛んで、その需要に応えるべく中国に自社の生産ラインを持っております」

 さらに漁って見ると、「有限会社」センターロードの情報がここで見つかった(他にも迷惑メール撲滅私的調査会のログでも見つかるが(笑)。ちなみに、楽天には出店店長のインタビューのページがある。AMCの店長のページは店長インタビューVol.28のはずだが、Vol28だけは消されている

 責任者の名前が一致するので、おそらく株式会社化以前の情報なのだろうが、ここには
「当社では、米国ロサンゼルスに本社を持ち、米国内のビッグホールセラーのライセンスを取得しており、通常、日本国内の卸問屋、小売店を顧客としているからです」となっている。

 本社はアメリカのロス?ということは、ロゴの左に描いてある "American Merchandise Concept Inc"というのがアメリカ本社の名前? これでぐぐってみても日本のページしかヒットしないのだが…。よほど小さい会社なのかなぁ。それとも…?
[PR]
by SIGNAL-9 | 2005-07-29 18:12 | 情報保護・セキュリティ
<< 中国最大のハッカー組織、近く日... 楽天市場店舗からカード番号含む... >>