セキュリティの
学び場

今回の解説ニュース

システムエラーが原因で、他人の個人情報などの閲覧や変更が可能な状態だったということです。インシデントの概要や、漏えいした情報から考えられる影響について説明します。

今回のインシデントは、TVデバイスを含むWebブラウザでシステムにアクセスしてログインした時に同時にログインした別の顧客がいた場合、「マイページ」の一部メニューで別の顧客の個人情報の一部の閲覧とクレジットカードの変更登録及びその他会員手続きができる状態であったものです。原因として、ユーザ認証システムの処理エラーが挙げられています。

対策として、対象となる可能性のある顧客に引き続きメール等で案内を行っており、原因となったユーザ認証システムの改修を実施しています。再発防止策として、全力で取り組むということです。

インシデントの全体概要

前回のインシデントは、Webブラウザでシステムにアクセスしてログインした顧客が「マイページ」で別の顧客の個人情報の一部を閲覧し、クレジットカードの変更登録及びその他会員手続きができる状態であったというものでした。原因として、ログイン処理の際に、ユーザ認証が正しく行なわれなかったことが挙げられています。

対策として、ログイン処理の際にユーザ認証が正しく行なわれるようシステムを改修しています。その後、新たに個人情報漏えいを確認したため、今回の続報では、対象期間を拡大し、対象者の精査を行なっています。

個人情報漏えいの対象となった情報

個人情報漏えいの対象となったのは、「契約情報」「端末名称」「⽀払い履歴」「⽀払い⽅法」「視聴履歴」「ダウンロード情報」「お気に⼊りコンテンツ」が挙げられています。

個人情報とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により特定の個人を識別することができるもの、又は個人識別符号が含まれるもの、と定義されています。他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含むとされていますので、今回のインシデントで漏えいしたものは、個人情報に該当すると考えられます。

クレジットカード番号（下3桁のみ）の漏洩リスク

個人情報保護委員会のホームページで、「不正に利用されることにより財産的被害が生じるおそれがある記述等」とはどのようなものかという問い合わせに対して、クレジットカード番号の下4桁それ自体が不正に利用されることにより直ちに財産的被害が生じるおそれがあるとはいえないと考えられる、としています。よって、個人情報保護の観点では、クレジットカード番号の下3桁でも、直ちに被害が生じることはないと考えられます。

ただし、別の観点から考察してみると、例えば、みなさんは、使っているパスワードに数字を織り交ぜることはありますか？その際に、誕生日だったり、電話番号だったり、自分がよく知っている数字を組み合わせたりしていませんか？そのような傾向を鑑みると、クレジットカード番号の下数桁を、パスワードの一部に使っていた場合、影響がゼロとは言えないかもしれません。逆に、どのような状況になってもパスワードが危険にさらされないよう、文字列の設定は十分に気を付けましょう。