楽天は12月25日、第三者からのアクセスで、楽天市場に資料を請求した事業者や、楽天カードでローンを申請した事業者、電子マネー「楽天Edy」の一部ユーザーらの情報が最大148万件分流出した可能性があると発表しました。
流失した可能性のあるサービス
- 楽天市場
- 楽天カード
- 電子マネー「楽天Edy」
漏洩した情報
- 名前
- 電話番号
- 銀行名 口座番号
- 運転免許証番号
- 借り入れ金額
- ローン申し込み審査結果
2016年1月以降から現在まで4年10カ月間外部から簡単に閲覧できる状態になっていた
クラウド型営業管理システムへの社外の第三者によるアクセスについて
このたび、楽天カード株式会社は、利用する社外のクラウド型営業管理システムに保管された「事業者向けビジネスローン申込者情報」の一部の情報に対する社外の第三者からのアクセスを確認しました。本件を受け、当社では当該システムの設定変更を2020年11月26日(木)までに完了し、社外の第三者からのアクセス状況について調査を行っています。当該システムの設定変更後は、社外の第三者からのアクセスは確認されておりません。また、現時点では本件の影響によるお客様への被害等も確認されておりません。
お客様にご迷惑とご心配をお掛けしておりますこと、心より深くお詫び申し上げます。
社外の第三者からアクセスされた可能性のある法人・個人事業主のお客様には、本日より、電子メール等にてお詫びとお知らせを個別にご連絡いたします。
本件の概要と対応について、以下のとおりご報告いたします。
※なお、楽天カード(楽天ビジネスカード含む)会員様の情報は、別のシステムにて管理しているため、本事象による影響はございません。
- 1.経緯
2020年11月24 日(火)、社外のセキュリティ専門家の指摘により、楽天株式会社が利用する社外のクラウド型営業管理システムに保管された一部の情報が、社外の第三者からアクセスできる状態であったことが判明しました。当社は、楽天のセキュリティ専門部署より11月25日(水)に連絡を受け、当該システムの設定変更を11月26日(木)までに完了しています。
また、当該システムに対する社外の第三者からのアクセス状況の調査を行った結果、現時点では当社が管理する「事業者向けビジネスローン申込者情報」の一部の情報に、社外の第三者による海外からのアクセスがあったことを確認しております。当社では、当該システムの設定変更後、社外の第三者からのアクセスは確認されておりません。本件による影響に変化等が確認された場合は、随時お知らせいたします。
- 2.社外の第三者からのアクセスの可能性があった情報
- ・対象となる情報: 事業者向けビジネスローン申込者情報
- ※楽天カード(楽天ビジネスカード含む)会員様の情報は、別のシステムにて管理しているため、本事象による影響はございません。
- ・対象となるお客様: 2013年4月1日(月)~2020年7月18日(土)に、ホームページよりビジネスローンをお申込されたお客様
- ※お電話にてお申込みされたお客様は対象となりません
- ・項目:
- 法人または個人事業主: 名称、住所、メールアドレス、売上高、売上原価、借入状況、法人口座(銀行名・支店名・口座番号・名義)等
- 代表者: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、借入状況、勤続年数、運転免許証番号、個人口座(銀行名・支店名・口座番号・名義)、年収等
- 保証人: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、勤務先(名称、住所、電話番号)、運転免許証番号等
- 融資希望: 金額、開始日、期間、返済方法、資金使途、利率、審査結果等
- ※お客様によって、入力情報は異なります
- ・可能性があった期間: 2016年1月15日(金)~2020 年11 月26 日(木)
- ・可能性があった最大の法人・個人事業主数: 15,415件(うち、現時点でアクセスが確認された件数: 304件)
- 3.原因
社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備
- 4.現時点で実施している対応
以下の対応を実施しました。
- (1)当該システムの設定変更
2020年11月26日(木)までに、社外の第三者によるアクセスを防止するため、当該システムの設定変更を行いました。設定変更後、社外の第三者からのアクセスは確認されておりません。- (2)情報が閲覧された可能性がある法人・個人事業主のお客様へのご案内
対象となる法人・個人事業主のお客様には、本日より、電子メール等にてお詫びとお知らせを個別にご連絡いたします。- (3)監督官庁および関係機関への報告
社内調査結果をもとに、当社より各監督官庁へ報告を行いました。
- 5.本件に関するお問い合わせ先
<専用窓口>
電話番号: 0120-49-6910
受付時間: 9:30~17:30
※お電話が繋がりにくい場合もございます。あらかじめご了承ください。
※お客様にご迷惑およびご心配をお掛けすることとなりましたことを心より深くお詫び申し上げます。お客様が個人情報の悪用などの実害を被られた際には誠意を持って対応させていただきます。お手数をお掛けしまして誠に申し訳ありませんが、上記お問い合わせ先までご連絡いただきますようお願い申し上げます。
- 6.再発防止策
今回の事態を厳粛に受け止め、社外のクラウド型営業管理システムの利用に対するセキュリティ管理の強化および定期的な見直し等を行い、再発防止に努めてまいります。
今回アクセスをされたデーターは、楽天と同社の子会社2社が使う外部のクラウド型の顧客情報管理システムで楽天市場の資料を請求した企業名や電話番号のほか、楽天Edyで端末が故障した際に残高が移せるサービスに申し込んだ利用者の名前や電話番号が保存されていたようです。また、楽天カードのウェブサイトでローンを申請した法人や個人事業主の名前や銀行口座番号、運転免許証の番号、借り入れ状況、融資の審査結果などの情報もあったようです。
被害状況
2020年11 月24日に、社外のセキュリティー専門家の指摘で発覚し現時点で、少なくとも計614件の法人や個人の情報が海外からのアクセスを受けたことが分かっています。原因について、楽天は同社の「セキュリティーの設定に不備があった」と説明していますが、免許証番号や口座番号がわかればかなりの確率で悪用される可能性は高いと思われこんご被害が拡大する可能性があります!