ヤマダ電機が5月29日に不正アクセスに伴って個人情報流出に関するお詫びを公式サイトに掲載しました。
対象となるのは、ヤマダ電機が運営する「ヤマダウェブコム・ヤマダモール」です。第三者による不正なアクセスにより、クレジットカードの情報が最大で37832件流出した可能性があることが、2019年4月16日に判明しました。
判明から1ヶ月以上も経過してから発表するというのは、いかがなものなのかと思います。正確な状況を把握しない段階で公表することはかえって混乱を招くこととなることから、「ヤマダウェブコム・ヤマダモール」での新規クレジットカード登録およびクレジットカード情報の変更を停止したのちに、第三者機関の最終報告をもって報告することにしたとしています。
そこまで慎重を期すのであれば、被害の範囲も第三者の調査が終わるまでは確定しないので、ウェブサービス全体を即刻で停止すべきだったのではないでしょうか。
今回の個人情報流出が疑われるのは、2019年3月18日から2019年4月26日の期間中に、「ヤマダウェブコム・ヤマダモール」のサイトで、クレジットカードを登録した人、およびクレジットカード登録情報の変更をした人になります。
流出した可能性がある情報は、クレジットカード番号、有効期限、セキュリティコードの三点です。もはや、この三点が流出したとなれば、そのクレジットカードは不正利用される可能性がとても高いので、一旦はカードを無効にせざるを得ないと思います。
しかし、ヤマダ電機の公表文書を見ると、流出した可能性のあるクレジットカードは、クレジットカード会社とも連携して不正利用の防止対策をしていること、および、顧客に対しては身に覚えのない請求項目がないか確認することを求めているに過ぎません。
顧客側が「クレジットカードの差し替えを希望する場合は」と、あくまでも、ヤマダ電機側としてクレジットカードの差し替えを推奨するのではなく、顧客側の判断に押し付けているのも、いかがなものかと思いました。
監督官庁の個人情報保護委員会への報告も2019年5月28日まで遅れたようです。この対応で良かったのかどうか、気になるところです。
コメント