FUD部門より。
あるAnonymous Coward 曰く、
GIGAZINEの記事「楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明」によると、楽天が個人情報を流出ではなく「販売」していたそうです。すでに実名・住所などを利用したエロサイトの業者スパムが多数届いているとのこと。
このように釣られてしまった方も多数いらっしゃるようだが、GIGAZINEの記事によると、楽天が提供するネットショップ運営システムでは、通常店舗側が確認できる個人情報は顧客の名前や住所、電話番号のみで、メールアドレスは確認できないとのこと。また、注文を行った顧客の情報をCSV形式でまとめてダウンロードできる「CSVデータダウンロード」機能というのもあるが、こちらにもメールアドレス情報は含まれていない。
しかし、月間売上が1,000万円以上、もしくは月間注文数が1,000件以上ある店舗の場合は、審査が通り、かつ個人情報の遵守を誓約する「差入書」を提出した場合のみ、顧客のメールアドレスもCSVデータとしてダウンロードできるとのこと。
GIGAZINEが「1件10円」と述べているのは、このCSVデータダウンロード機能の利用料金が顧客100件まで1,000円、100件以上の場合1件につき10円となっていることだと思われ、これをもって個人情報を販売」と主張していると思われる。
なお、『GIGAZINEが「楽天が個人情報を1件10円で販売している」と全力で飛ばし記事』というブログ記事によると、クレジットカード情報については現在も非公開のままで、店舗側には提供されないようだ。
楽天は情報流出事件を防ぐため、カード番号やメールアドレスは店舗に出さないシステムの導入を発表しているが、このように謳っておきながら一部の大型店舗には条件付きでメールアドレスを提供していた点は確かに問題であろう。
(追記@17:05)楽天による5月28日の「楽天市場からのお知らせ」によると、
昨日5月27日、一部のブログが「楽天、利用者のメールアドレスを含む個人情報を1件10円でダウンロード販売」との情報を掲載しましたが、 全くの事実誤認でありますので、お知らせいたします。
とのことだそうだ。
|
|
関連ストーリー
|
|
クレジットカードの一元化が完了してない (スコア:5, 参考になる)
メールアドレスなんかよりクレジットカード番号のほうが怖いのですが、
楽天は情報流出事件を防ぐため、カード番号やメールアドレスは店舗に出さないシステムの導入を発表しているが、このように謳っておきながら一部の大型店舗には条件付きでメールアドレスを提供していた点は確かに問題であろう。
ここにある大規模店例外はクレジットカート事件のあとの改修の直後から公表してますよ。 秘密でもなんでもない。
新顧客情報管理体制(クレジットカード決済)に関する追加措置のご連絡 [rakuten.co.jp]
一部の店舗にてクレジットカードでの決済処理方法に対し2006年2月まで以下のような暫定処置をとることをお知らせいたします。
株式公開企業またはそれに準じる会社(中略)についてはCSV形式でのクレジットカード情報のダウンロードを可能にします。
新顧客情報管理体制(クレジットカード決済)に関する追加措置延期のご連絡 [rakuten.co.jp]
現段階において新顧客情報管理体制の完全導入(クレジットカード決済)については2006年9月末頃の対応を予定しております。
# 中略および強調は引用者付記
ところが、いまだに大規模店舗は例外のままなんですよね。
たとえば(他意はありませんが) Joshin Web rakuten店 [rakuten.ne.jp]にはこんな説明があります
当店は楽天株式会社より例外的にクレジットカード番号の開示を受け、 独自に決済処理を行っております。詳しくはこちら。
カード番号は如何なる店子にも教えず、楽天側で一括管理するというのは諦めたんでしょうか...
コメントを書く
もにょもにょ独り言 (スコア:5, 興味深い)
各店舗では、受注発送管理するweb-system上、名前、住所等々と一緒に完全なemail-addressを見ることはできません。(@以下は表示される)
が、お客様とのやり取りが電子上行われている関係でemailが使えないと不便です。
web上からお客様にemail-addressを見ることなくご連絡を入れることが可能ですが、
そのフォームから発信されるemailには、return-path/from/CCに各店舗のemail-addressが入っております。。。
おわかりかと思いますが、別に各店舗がお客様のemail-addressをweb上その他個人情報と一緒に見えないと言うだけで、
emailで見えていて店舗で所持できるわけです。
上のパターンは、お買い物をしてくれたお客様の情報ですが、他にはプレゼントやメルマガ等々いろいろあります。
こちらも、web上で直接完全なemail-address見られませんが、手間をかければ全部ではないと思いますがかなり見られます。
1件10円ってのは、お客様の個人情報を1行に取りまとめた加工賃って感じでしょうか。
(emailを含めるには、各種条件を乗り越えないといけない)
カード番号に関しては、見かけたことは一度もありません。
各店舗さんからしてみれば、このお客様にmailだそうって時は注文を探して云々してやっと出せるって感じで、
大きな店舗さんだとCSVで自分に取り込んで使いたくもなるでしょう。
楽天さんにしても、各店舗さんのemail管理をしてない以上、直接的じゃない(?)にしろお客様emailを各店舗に出すのは当然かと思います。
(電話番号と同じ連絡先として)
まあ、要するに楽天さんの言ってること(言い方)とやってることがおかしいのが、記事になっちゃったんだと思います。
他にも沢山のツッコミ処をニヤニヤ見ながらやってるのでAC。。。ほんといっぱいありますよ。
コメントを書く
Re:もにょもにょ独り言 (スコア:3, おもしろおかしい)
コメントを書く
親コメント
目的外利用があるなら問題だね (スコア:4, 興味深い)
以前、楽天にしか登録してない、ある符丁付きの住所宛に
全然覚えのない消費者金融からDM届いた事がある。
半年くらいの間に集中して何度も。
レディースローンのハガキなんかも届いてたんで、
あまり詳しくはセグメント化できてないみたいだったけど。
コメントを書く
Re:目的外利用があるなら問題だね (スコア:5, 興味深い)
▲売っているかどうかは別にして、楽天経由でアドレスが漏れてる気はします。
先日楽天で買い物をするときに間違ってメールアドレスの末尾「.com」を「.ne.jp」と打ってしまったのですが、その「.ne.jp」アドレス宛てにSPAMが届くようになりました。(「.ne.jp」はエイリアスで、これでも届くという予備表記。)
・メーラーの発信者設定は「.com」になっており、この表記宛てにはSPAMが来ている。
・楽天で初めて登録に「.ne.jp」表記を使った。
・それまで「.ne.jp」宛てにSPAMが来たことはなかった。
これらの点から楽天で登録したアドレスが漏れたと判断しました。楽天自体が漏らしたのか登録した店舗が漏らしたのかは不明ですが。
コメントを書く
親コメント
2005年夏で分けないと (スコア:3, 興味深い)
記事中の日経へのリンクにあるように 楽天では 2005年の夏、セキュリティ強化のために システムを変更しています (楽天市場会社情報: ニュースリリース 2005年8月1日 [rakuten.co.jp], 新顧客情報管理体制の導入についての概要資料 [rakuten.co.jp][PDF])。 それ以前は、メールアドレスもクレジットカード情報も 店舗に流れていました。 今回のは変更後でもメールアドレスが漏れているというのが問題になっています。
5年ぐらい前、楽天でクレジットカードを使って注文したとき、 カードの裏の署名欄にある 3桁のセキィリティコードを 平文のメールで送れとショップからメールで指示が来て、 お前のとこはセキュリティを何と考えているのかと 苦情のメールを出したことがあるので、AC。
コメントを書く
親コメント
そもそも実名付きのスパムメールが大本なわけで (スコア:4, 興味深い)
コメントを書く
Re:そもそも実名付きのスパムメールが大本なわけで (スコア:2)
そんなことしたら『報道』カテゴリーが時事通信と毎日新聞しかなくなっちゃう…
コメントを書く
親コメント
販売というか (スコア:3, すばらしい洞察)
そのメールアドレスを公開し、さらに課金して利益を得ているのでは問題でしょう。
利用者は楽天に儲けさせる為にメアドを晒している訳ではないのですから。
個人情報の用途を規約に書いてあるならば問題ないかもしれませんが
自分の情報で他人が儲けるのにいい顔する人は居ないでしょう
それ以前に企業として配慮が足りない感は否めませんな
コメントを書く
顧客は別に店舗側に個人情報が流れてる事は気にしてない (スコア:3, 興味深い)
一般的な感覚からすれば。
だって、取引してるのは店舗と顧客なんだから。
あるべきものがあるべき場所に納まってるだけに過ぎない。
むしろ、楽天に個人情報が「流れている」事の方が一般的な感覚でいえば問題だと思う。
ショッピングセンターで買い物したら、なぜかテナント管理してる不動産屋に名簿が出来てるってことだから。
コメントを書く
マスク買い占め奨励 (スコア:3, 興味深い)
「マスク買い占め。業種関係なく販売奨励、在庫切れでも20日遅れの発送でも注文を取れ」
と呼びかけをしていたことも発覚しましたし。
インフルエンザに感染、または身近な人が発症して今すぐマスクが必要な人や、
本当に必要な医療関係者が入手できないことも発生したことを考えると、
楽天のショップサポートの指導はモラルがないんだと思いました。
薬を通信販売でしか買えない僻地の顧客にはインフルエンザはあまり関係ないと
思われますけど、そんな人のためにマスクを買い占め呼びかけていたとは
到底思えない楽天。
そんな楽天が「薬品の通販規制に反対の署名を」と言っても、署名する気には
ならないわけで。
どうせ自分の儲けのことしか考えていないでしょうし。
コメントを書く
Re:マスク買い占め奨励 (スコア:2)
>>マスクは有効です。自分のために、他人のために、ちゃんと着用しましょう。
>> http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1326125383 [yahoo.co.jp]
それでリンク先が「Yahoo質問箱」ってどうなのよ。
せめて、もう少しマシな情報元を示して下さいよね。
>CDCは「マスクでインフルエンザを予防できるって科学的なデータはねーけどよ、
>まあマスクしてもいいんじゃないの?」的なことをって言ってますが。
こっちの方が信用できるのでは。
コメントを書く
親コメント
自衛手段はないものか (スコア:2, 興味深い)
#若干オフトピです。
通販専用のアドレスを提供してくれるサービスとかないものかねぇ。
店舗ごとに逐一アドレスを生成して、店舗側への連絡手段として使う。万一たちの悪い業者にそのアドレスが抜かれたとしても、店舗に対してはプライベートアドレスは隠蔽され、さらに店舗固定なのでホワイトリスト方式で完全にフィルタリングが可能になる。
発送物の代理受け取りをして、最寄のコンビニ配送とかに再配送してくれる有料オプションとかあってもいいかもしれない。
ちょっと不安な相手から通販やオークションを利用する場合にあると便利だと思うんだけど、どうだろう。
//ソリッドファイター完全版 [fukkan.com]復刊賛同者募集中/
コメントを書く
Re:自衛手段はないものか (スコア:2, すばらしい洞察)
メールでの遣り取りに拘らなければ、ヤフオクの 取引ナビ みたいな仕組みが理想かも知れませんね。
コメントを書く
親コメント
Re:自衛手段はないものか (スコア:2, 興味深い)
それやってました。
自宅でメールサーバ動かしてるんで、全部の通販や会員登録のアドレスを分けて、その業者のドメイン名@メールサーバという組み合わせで登録するようにしてた時期がありました。
でも意外と漏れてないなという印象でしたんで、いまは面倒になってやめてます。まったく漏れてないわけではなくて、かつそれが結構おおきな会社でもニュースにならないケースもあるということも判明はしましたが。ただそれが分かっても、もうそこは使わないというわけにもいかないんですよね。
コメントを書く
親コメント
@infoseek.jp (スコア:2)
通販専用のアドレスを提供してくれるサービス
『infoseek メール ベータ』で楽天フォルダを生成して、『楽天ショップのメルマガ』の保存期間を短くして自衛しています。
コメントを書く
親コメント
どこが販売? (スコア:1, 興味深い)
GIGAZINEの記事を読んでもさっぱり個人情報販売と読めなかったので流していたのですが、やはりとばしと判断した人がいらっしゃるのですね。
さすがに商品発送用のデータを提供することを個人情報販売と読み替えるのはやりすぎでしょう。
システム使用料についても楽天なら仕方ない課金でしょうし。
これは逆に「GIGAZINEが楽天を貶めている!」となりませんかね。
#この間のインタビュー記事で結構好感持ったのですが… >GIGAZINE
コメントを書く
Re:どこが販売? (スコア:2, 興味深い)
楽天でたまに「100万ポイントをみんなで山分け!」みたいなキャンペーンがありますが、あれがまさにメールアドレスの販売です。そのポイントはメールアドレスが欲しい店舗が楽天に支払う広告料によって支払われます。
楽天としてはメールアドレスは直接店舗から見えないし、キャンペーンに参加する顧客はメールアドレスを提供する旨に同意しているから問題ないのだ、という解釈のようですが。しかし店側から間接的に見ることができてしまう抜け道も多数あるので、やはり問題ではないかと思います。
楽天は一が万事こういった調子なんで、楽天で仕事をしていると感覚がどんどん麻痺してきて怖いもんです。コンプライアンスよりも儲けを重視する会社風土があるというか。それでいて外向けの発表は結構な綺麗事をいうので、内側とのギャップにクラクラきます。
コメントを書く
親コメント
メールアドレス (スコア:1, 興味深い)
店舗が購入者のメールアドレスを得ることについて、
タレコミ文面では
と「一部の大型店舗には条件付きでメールアドレスを提供していた」とのことですが、
GIGAZINEでは、
と「注文確認メールが店舗にも同報送信されており」となっています。
つまり、購入者のメールアドレスを得ることができるのは一部の大型店舗に限ったことではないようにGIGAZINEは書いているのですが、これも間違いなんでしょうか。
コメントを書く
Re:メールアドレス (スコア:2)
楽天にはGmailのアドレスに+rakutenをつけたアドレスを登録してあります。
ちょくちょく、100万ポイント山分け企画なんかに参加してますが、
この場合、+rakutenのついたアドレスが、スポンサーとなったショップのメルマガに登録されます。
が、店舗によっては、+rakuten抜きのGmailアドレスにメールマガジンを送ってくることがあります。
コメントを書く
親コメント
Re:メールアドレス (スコア:2)
元のGIGAZINEの記事に、楽天自らが公開している、
サンプルデータのcsvへのリンクもありますから、
ご自分で確認されたらどうでしょう?
コメントを書く
親コメント
楽天からのお知らせ (スコア:1, 参考になる)
http://www.rakuten.co.jp/help/whatsnew/ [rakuten.co.jp]
一応公式にお知らせに載ってますね。
あまり大事と捉えていないのかあえて騒ぎを大きくしない様にか大した説明ありませんが・・・
でも1件10円は(メルアド含む、含まない関わらず)ちょっとセコイなぁ~とは思いますね
出店料とっているんだからその中に含めてよって気もします。
あと他の方もコメントされてますが私もメルアドよりもカード番号が未だに一元化されていない方が
問題大きいと思います・・・
コメントを書く
Re:楽天からのお知らせ (スコア:2, 興味深い)
>「既に完売してらっしゃいます! すごい勢いで売れていますね!
> 650円で仕入れたマスクが2万ちょいで売れているらしいですよ」
>「昨日、600万売った店舗さんもレディースファッションの店舗様です!
> カテゴリーなんて関係ありません! 配送は20日先になっても構いませんので、
>とりあえず注文をとって、売りましょう、商売はタイミングとスピードです!」
という内容のメールを無差別に加盟店にマスク販売の便乗販売を呼び掛けていたのに対して、
>一部の報道機関において、当社が出店店舗様に対し、マスクの積極的な
>仕入れや販売を奨励していたとする報道がなされました。
>新型インフルエンザが広がるなか、マスクについては、地域によっては
>品不足等の事態が生じており、当社としては、インターネット販売の特性を
> 活かし、在庫がある地域から、入手が困難な地域にマスクを円滑に流通
>させるためにも、出店店舗様に対してマスクの仕入れと販売に努めるように
>お願いしてまいりました。
と恥ずかしげもなく言ってのけるのって、厚顔無恥って言うんですよね。
円滑に流通させると言っている割には、配送が20日先でも注文を取れとか、
矛盾していますよね。
それを踏まえて考えると、情報漏えいに対して「事実誤認」と言われても
信用できるかどうか。
コメントを書く
親コメント
責任の所在 (スコア:1)
今回の検証作業で明らかになったのは
楽天で買い物をしたら、メールアドレスが目的外利用された
という事実ですよね。
(目的外利用=漏洩としても一般の認識としてはそれほど
外れていないと思いますが)
誰だってSPAMが来ることを喜ばしいことだとは思わないので
なるべく気をつけようとすると思いますが、警戒している人でも
「楽天」というブランドがあるから大丈夫という判断をすることが
あるのであって、楽天は本件に関してはどちらかのアクションをとり
態度をはっきりさせる必要があると思います。
1.楽天は店舗の運営および店舗と顧客との間に発生した一切の契約関係に対して
個別の責任を負わないことをサイトに明記する
2.店舗をある程度統制する力を持っていることを示すために、追跡調査を可能な限り
(利害関係者の理解が得られるまでくらい?)実施する
まー1を選んだらkakaku.comみたいな感じになっちゃうんですけど。
この間のサイバーエージェントの件といい、ネットベンチャーはコンプライアンスや
リスクマネジメントを蔑ろにしている感が否めないですね。
コメントを書く
あまり風説を流布しない方が…… (スコア:1, すばらしい洞察)
2ちゃんねるでは、既にニュース記事のタイトルだけで判断して楽天を誹謗中傷するレスが多数見られます。
残念ながら、スラドの中でも、個々人の勝手な楽天へのネガティブイメージと結びつけてあることないこと書かれてしまっていますね。
もっと慎重になるべきではないでしょうか? やや配慮が不足した編集内容のように思います。
コメントを書く
Re:あまり風説を流布しない方が…… (スコア:2, すばらしい洞察)
言っていたことに反して、メールアドレスを含む顧客の情報を有料でダウンロード
できる仕組みを提供していることは、風説の流布ではなく、事実ですよね。
また、楽天は別の方法でも加盟店が容易に顧客情報を取得できる手段を提供している
ことも否定できないでしょう。
また、楽天でしか使っていない専用メールアドレスに、実名入りの迷惑メールが
届いたことが事実であるなら、楽天での顧客情報漏えいが発生している可能性は
極めて高いでしょう。
Gmailのエイリアスで作成したアドレス宛へ届いた迷惑メールなので、もし
Googleから情報漏えいしたのなら、エイリアスのアドレスではなく、本アドレスへ
届くはずなので、ほぼ楽天周りから流出しているのは確実と言えます。
もちろん、情報漏えいの原因は、もっと別にあるかもしれませんし、
迷惑メールの存在自体が嘘かも知れません。
それを踏まえると、楽天自体が「風説の流布」「業務妨害」と厳しい態度を
取れないでいるのは、身に覚えがあるからじゃないかとも感じられます。
また、情報漏えいになる手段が提供されている以上、絶対に情報漏えいの事実が無い
とは言えないはずなのに、「安心してお使いください」と安易にニュースリリースを
出してしまうと言う対応は、いかがなものかと思います。
「安心してお使いください」といえるのは、社内調査の結果、そういう漏えいの
手段はありませんでした、漏えいの事実もありませんでした、という結果の
公表と合わせてされるべきであって、何の材料も無しに「安心しろ」といわれても
信用できませんよね。
コメントを書く
親コメント
CSVデータダウンロードしなくても漏れてる (スコア:1, 興味深い)
この際言っちゃいますが、顧客宛ての注文内容確認メールは
To: 顧客
Cc: ショップ
でショップにも届くので、顧客のメールアドレスは(店舗用web管理画面からは見れないだけで、メールからは)ふつーに見れます。
これは個人情報遵守誓約書うんぬんが必要なCSVデータダウンロード契約とは無関係で、全店舗無条件に見れます。
つまり「メールアドレスは店舗に出さない」というのは有名無実で、
CSVデータダウンロード契約時のみ個人情報遵守誓約書を取っても全く無意味で、
明らかな仕様バグではないかと。
コメントを書く
GIGAZINE云々はともかく (スコア:1)
法治国家では云々っていうのも、この企業に対しては戯れ言にしか聞こえないし。
罪になろうとなるまいと、黒いものは黒いですよ。
なぜか日本は、伝統的な黒さに甘いし、厚顔さにも寛容(というか鈍感)。
そのくせGoogle SVみたいなラディカルさには容赦なかったりして。
ああ、村社会。
コメントを書く
Re:Web 2.0(笑)世代の3大ニュースサイト (スコア:3, おもしろおかしい)
コメントを書く
親コメント
Re:書きよう (スコア:3, 興味深い)
違うよ。全然違うよ。
個々の小規模な店舗はメアドやカード番号を教えるほどは信用できないけれど、
楽天がそれらの個人情報を管理して各店舗に教えないというから、
楽天を信用して買い物をしたんだ。
各店舗は信用できないけど、有名な楽天なら信用できるっていう線引きが
多くの人にはあると思うけどな。少なくとも私にはある。
そして、今回、騙されたことが判った。
コメントを書く
親コメント
Re:書きよう (スコア:2, すばらしい洞察)
と思った人は居るんじゃないでしょうか。
コメントを書く
親コメント
Re:ニュースになれば、広告料の削減になる (スコア:1, すばらしい洞察)
ですからっていうか、それは争って当然だと思うが。
コメントを書く
親コメント