DeNA、ビッダーズのカード番号管理など流出対策を発表--例外店舗認める

　ディー・エヌ・エー（DeNA）は8月19日、オークションとショッピングサイト「ビッダーズ」に出店している輸入雑貨のAMC（運営はセンターロード）の取引に係る個人情報が流出した事件について、今後の対策を発表した。捜査の進展や状況については「警察当局にも相談しているが、流出経路はいまだ解明されていない。新事実が判明した際には捜査に支障のない範囲で速やかに開示する」としている。

　ビッダーズにおけるこの事件では、流出した情報の中にクレジットカード番号は含まれていなかったものの（関連記事）、万一流出した場合には金銭的被害が出る可能性があるなど影響が大きいと考え、システムの見直しを含めた情報管理体制の強化を図ることにした。

　対策をとりまとめるにあたり、同社では最初にその立場や責任について改めて示した。それによると、「店舗が取引のために取得した個人情報の管理責任は店舗にある」としたうえで、「しかし、DeNAも出品者と購入者が取引するための仕組みと場を提供しているという立場から、購入者が提供した個人情報が適切に管理されるように、また、店舗にとっても必要以上の個人情報を取得することによるリスクが低減されるように、システムの見直しや店舗における個人情報管理に対する意識の徹底に取り組んでいく」という。

　とりまとめた対策では、まず、従来から決済の業務を代行する事業者であるSBIベリトランスと提携して提供してきた「ビッダーズクレジットカード決済サービス」を利用している店舗について、8月24日からクレジットカード番号を閲覧できなくする。また、このサービスを利用せずにカード会社と直接契約している店舗についても、クレジットカード番号を閲覧しないで決済するサービスを決済業務の代行事業者との提携によって導入していく予定だ。

　このように、決済業務を代行する事業者のサービスを利用する店舗については、クレジットカード番号をダウンロードする必要がなくなるので、ダウンロードできないようにシステムを変更する。しかし、取引件数が非常に多いために自社で独自の決済手段や仕組みを持っているなどの理由から、決済を代行する事業者のサービスを利用しない店舗には例外を認める。ウェブサイトの個人情報保護の信頼性を客観的に判断できるように、第三者機関が審査して認証する個人情報保護認証規格「TRUSTe（トラストイー）」をはじめとする個人情報保護の第三者認証プログラムの取得に加えて、そのほかの一定条件を満たした場合に限り、クレジットカード番号をダウンロードできるようにする。

　こうした例外店舗がどのくらいの数にのぼるかについて同社では、「店舗の状況を確認しながら進めるが、いまのところまったくわからない」としている。

　次に、クレジットカード情報以外の氏名や住所、電話番号、メールアドレス、購入商品などの取引情報については、購入者に対する連絡や商品の発送のときに必須となるため、出品者による情報の取得を完全には制限しない。しかし、大量の取引情報が外部流出するリスクを低減させるために、すでに8月18日からこうした情報のダウンロードが可能な期間を取引後2週間以内に制限した。

　さらに、店舗がビッダーズのシステムにログインする際にはIDとパスワードの入力のほかに、特定のPCからでしかアクセスできないようにクライアント認証も実施することにした。外部からの不正アクセスなどを防止するためだ。パスワードの有効期限も短くするという。

　このほか、店舗における個人情報の管理体制を強化するために、以下の活動にも取り組んでいく。

• 各店舗による個人情報保護の第三者認証プログラム「TRUSTe」取得の推進
• 各店舗における個人情報保護責任者の設置を義務付け
• 店舗に対する入会時研修などにおける個人情報保護に関する内容の充実
• 各店舗がセキュリティの状態を自己診断するためのチェックリストの提供と利用の徹底