Soukaku's HENA-CHOKO Blog

自治体特選ストアの前身である JAPANsg 時代の個人情報、漏れてませんよね?

チラホラと、個人情報漏洩の話が、ニュースになって流れていますが、今日見かけたのがこんなやつ。

情報の流出の原因は 2014年9月24日に発生したネットショップ構築サービス「MakeShop」への不正アクセスによるものです。発生直後の段階では明らかとなっておりませんでしたが、現在までの長期にわたる調査期間を経て、事態の発生した2014年9月24日までに当ショップに会員登録いただいたお客様の情報も流出していたことが、新たに発覚したと報告を受けております。

[From 「伊藤ハムマーケット」会員様へのお知らせ(MakeShopへの不正アクセスについて)[PDFより]]

MakeShopといばえば、Yahoo!ショッピング移行時に 自治体特選ストア と解消された JAPANsg が使っていた通販ASPなんですよねぇ。

商品説明ページにある"すぐに注文する"ボタンをクリックすると、カートに商品を追加、自動的に注文者情報の入力画面まで進みます。途中、japan-sg.jp ドメインでのカードが表示されますが、直後になんの説明もなく makeshop.jp ドメインのサイトに切り替わります。

[From こんな運営の通販サイトで大丈夫か?(その2) #JAPANsg - Soukaku's HENA-CHOKO Blog]

MakeShop を利用していることは運営サイドは伏せていましたけど、注文手続きの流れの中で MakeShop のドメインに遷移していくところまでは隠せていなかったので、公然の秘密のような状態になっていました。

さて、伊藤ハムの出したプレスリリースのPDF、2ページ目以降にMakeShopの運営も土であるGMOメイクショップからの報告文書がまるまる添付されています。そこも読み進めてみると、3ページ目に興味深い記述が、ちらほら。

■今回調査で判明した件数

2014 年 9 月当時に漏えいしていたことが判明した件数は以下の通りとなります。

(1)2014 年 9 月 24 日までに「MakeShop」をご利用されていた店舗様のうち 6,116 店舗様の情報

1)店舗数の内訳(※2016 年 6 月時点)
運営中の店舗様数:531 店舗
退店済み店舗様数:5,585 店舗

2)店舗情報
ショップ ID / ショップパスワード / ショップ住所 / ショップ電話番号
申込者名 / 申込者電話番号 / メールアドレス など
[From 「伊藤ハムマーケット」会員様へのお知らせ(MakeShopへの不正アクセスについて)[PDFより]]

2014年時点で全部で何店舗あったのかわかりませんが、6千店舗強の店舗情報が漏れていたと。


(2)2014 年 9 月 24 日までに店舗に登録されていた会員情報

1)件数 625,578 件

2)会員情報 (※1)

会員 ID / 会員パスワード(※2)
氏名 / 生年月日 / 性別
メールアドレス / 住所 / 職業 / 電話番号
ポイント情報 / 決済手段区分 / PAID メンバーID(※3)

(※1)クレジットカード情報は保有しておりません。
(※2)ハッシュ化と呼ばれる規則性のない固定長の値を求め、その値によって元のデータを置き換える手法を採用しています。
(※3)法人向け後払いサービス「Paid」の会員 ID を指します。

[From 「伊藤ハムマーケット」会員様へのお知らせ(MakeShopへの不正アクセスについて)[PDFより]]

報告文書の書きっぷりから考えると、その店舗情報の漏洩した6千店舗強に登録されていた会員情報約63万件も漏洩した、ということなのでしょうね。

この情報漏洩が発生した時期は、JAPANsg から自治体特選ストアへの名称変更を控えた時期で、参加自治体数も22と最盛期だったわけですが、店舗情報、会員情報ともにJAPANsgのものは漏れていなかったのか、というのが非常に気になるわけです。

以下、推測ですけど…

もし、漏れていたとして、これらの情報漏洩が起きたことが「参加自治体に伝えられるのかどうか」が焦点となるわけですが…。

今まで有志の手や自分が行った情報開示の中で取得された公文書の中では、MakeShopを利用していることが記載されたものは存在していなかったはず…。

MakeShopの申込手続きなどはF&Bホールディングス企業連合なる正体不明な団体の代表構成員を名乗る cotode が行っていたはずで、もし各「自治体sg」が情報漏洩被害の対象となっていた場合には伊藤ハムに送付された報告文書と同様の内容のものが、cotode 宛に送付される(もしくは送付されている)はず。しかし、「参加自治体に対してはMakeShopを利用していたことを伏せていた」わけで、武雄市、cotode 等で構成されたF&Bホールディングス企業連合としては、参加自治体への報告しにくい状況にあると、推測されるわけですよ。

ついでに言っとくと、以前指摘してあるのだけど、

  • 再委託に関する扱いが、実態を反映していない?
    • MakeShopのシステムを使っている点とか配送業務に佐川急便が指定されているのは、再委託に該当しないの?
    • 注文者の個人情報を、MakeShopで入力させたり、配送のために佐川急便に渡しているけど、それは第三者への提供に該当しないの?

[From #JAPANsg と自治体と契約と - Soukaku's HENA-CHOKO Blog]

というのもあるんで、第三者委託や個人情報の取り扱いに関する条項のことを考えると、契約違反行為を行っていたと取られかねない状態なんで…。
#報告するとして、どう説明つけるのか、すんげー興味ある。

そして、F&Bホールディングス企業連合の中の人達の顔ぶれも、2014年9月時点とは大きく変わってます(当時の武雄市長は、県知事選のため辞職して玉砕だし、cotodeも代表取締役が交代してる)んで、まっとうに対処されるのかすらわからない状態なんですよね、これが…。

もし、JAPANsg時代に何か購入したという方で不安だという方がいらっしゃったら、「自治体に対して」情報漏洩がなかったかどうかを問い合わせてみるのがいいんじゃないかなぁ~、と思ったりしますが。

トラックバック(1)

Soukaku's HENA-CHOKO Blog - 自治体特選ストアの "不都合な真実" とは? (2016年8月12日 03:11)

GMOメイクショップからの個人情報漏洩絡みで、自治体特選ストアにも波及するんじゃね?って書いたわけですが、 もし、漏れていたとして、これらの情報漏洩が起き... 続きを読む

コメントする