都内在住40代独身女性ならではの、オタ活&仕事のストレス&アンチエイジングのことなど

資生堂・イプサが個人情報を流出した原因は、ただのうっかりミスだった!

個人情報流出のときはかなり世間が騒ぎましたが、最終的に

なぜ情報が流出したのか?

の報告については、全くネットでは話題になりませんでしたね。

私も

●イプサの通販で個人情報を流出されてしまった…
●イプサから個人情報流出のお詫びにQUOカードが届いた!
●クレジットカード情報流出有無でもQUOカード千円のイプサの対応

を書いてからは、クオカードをもらったことでもう終わった感じになってしまっていました。

が、先日Web関係の人から

「イプサの最終報告読んだ?」

と聞かれたので、読んでみました。

ええと、ハッキリ言えば…

お役所仕事のうっかりミスです!!!!!!!

イプサ内で販売サイトの管理をする部署が明確に決まってなくて、

販売サイトの立ち上げを他所の会社に外注したときに、最後にテストモードのまま公開しちゃっていて、

その後の管理をまた他所の会社に外注していて、そこがテストモードだってことに気付かなかった、と。

で、自社でも誰がそれをチェックするのか曖昧だったまま見過ごされていて…

カード会社から「あなたの会社からクレジットカード情報漏れてませんか?」って聞かれてから、自分たちのうっかりミスに気付いたってことです!


PDFで公開されているものを要約すると下記になります。ちょっとだけ言い回しをわかりやすく変えています。

●個人情報不正アクセスに関する調査報告書(PDF)

概要

2016 年11月4日
クレジットカード決済代行会社から不正アクセスがの可能性が報告され、インターネット販売機能を停止。
社外の専門調査機関に調査依頼。

2016 年11月25日
クレジットカード情報 56,121 件を含む個人情報 421,313 件分が流出した可能性を確認

2016 年12月2日
個人情報流出の可能性がある顧客に連絡

2016 年12月13日
クレジットカード情報流出の可能性が無いとは言い切れない9,699名に追加連絡。

2016 年12月18日
対象となった全ての顧客にお詫び状とクオカードを送付。

2017 年1月20日
更に個人情報流出の疑いがある150名(EC サイト未登録で店舗購入だけれど、購入履歴やポイント確認のためにログインした顧客)がいることが発覚し、お詫び状とお詫び品を送付。

原因

SSL対策を最小限にしか実施していなかった。

セキュリティ対策がファイアウォールのみだったのに、他のセキュリティも導入済みと思いこんでいた。

サイト内にクレジットカード情報を残さない設計にしていたはずが、デバックモード(テスト用の設定)のまま運用してしまっていた。

サイト立ち上げ時の開発業者と、その後の運用委託業者が違っていて、情報の引き継ぎが出来ていなかったためデバックモードだったことに気付かなかった。

イプサ社内のサイト管理部門がハッキリ決まっていなかった。


資生堂グループ全体で運用ルールが明確に決まっていず、管理しきれていなかった。


今後

決済代行会社のサイトにクレジットカード情報を入力する決済システム(遷移型決済システム)に変更。

管理部門を一つにまとめる。

資生堂グループ内でも、社によってシステムの専門知識レベルに差があることが分かったため、グループ全体でセキュリティ対策を強化する。



へー、ああ、うん…まぁ、世間が普通だと思ってることって、実際には各企業がちゃんと出来ていなかったりするもんですよね。

私も友達がこういう通販サイトに関わってるから、事情はちょっと分かります。

メーカー内の人って、すぐに部署異動しちゃったりするんですよね。

だから、せっかく東京で通販サイトの仕組みに慣れた人が、大阪とか北海道とかに転勤になっちゃうこともあるものです。

それで、次の担当者にろくに引き継ぎも出来ないまま、なんか得意そうな人とか、手があいてる人が担当っぽくなって〜

って感じで、イプサ内でもちゃんと管理責任能力がある人が誰だか把握できなくなっちゃってたんでしょう。


でもって、外注で受けてるひとたちなんて、言われたことを言われた通りにやってればお金がもらえる〜

っていうか、システムのことなんかよく分かっていないお嬢ちゃんお坊ちゃんの社員を相手に、テキトーに仕事して、テストモードのまま公開しちゃったんですね。

運営を引き継いだ外注だって

「あれ?これテストモードじゃね?」

って気付いたとしても

「いいや〜別にそこまで報告するのなんて仕事に含まれてないし〜」

なんて放置したのかもしれませんね?気付かなかったんだとしたら、そんなにシステムに詳しくない会社に、天下りのようにお仕事頼んだのかもしれないですねぇ。


私はこれは、イプサだけの問題ではなくて、日本ののほほんとしたメーカー体質なんだろうな〜って思います。

ホント、メーカーの人ってお嬢ちゃんお坊ちゃんの集まりですもん。

とか言ってられないくらい、今日も資生堂の商品は自主回収になってるし…そろそろ安穏としてられないと思うのですけどね…

6月からまたネット通販開始するそうなので、今度は気をつけて頂きたいものですね。

よろしければこちらもどうぞ!

●海外用ポケットWi-Fi~カード不正利用されました~
●ちょっと待った!「資生堂ショック」で不買運動⁉︎アラフォー独身の率直な意見
●放送中止の資生堂インテグレートのCM、どこが問題なのか全く分からない
関連記事