東横インとりそなカード、情報流出の後始末 75
ストーリー by yoosee
起きてはいけないことが起きてしまったら 部門より
起きてはいけないことが起きてしまったら 部門より
saitoh 曰く、 "すでに
goo ニュース(読売) の記事 や
河北新報の記事 などで報道されているように、
ビジネスホテルチェーン 東横イン のメンバーズカード(りそなカードのクレジットカードになっている)の顧客情報が流出し、実際に不正使用が起こった。
ほとんどは不正使用検知システムで未遂に終わったらしい。
りそなカードのWebサイト トップページ にも
お詫びのアナウンスが掲載されている。
東横インとりそなカードは、すべてのカードを番号を変更して再発行することに決めた模様。僕のところにも、3月5日に1000円の宿泊券とともに新しいカードが送られてきた。電話料金やETCなどのカード払い契約に関しては、国内に関しては、おおむね顧客がなにもしなくても自動的に新番号に切り替わるとのこと。もちろん、暗証番号やポイントも引き継がれる。
同封の案内文には「万一、不正使用が発生した場合には、お客様に迷惑をおかけしないように誠意をもって対応させていただきます」と書いてあった。
1月に被害が発覚し、2月25日にマスコミ発表、3月当初にカード再発行という流れだが、スラドの皆様は、この対処法と対応速度をどう評価されるだろうか。余談ながら、このクレジットカードは顔写真つき。再発行されて分かったが、発行会社は顔写真データを保持しているようだ。"
ここで言うことじゃあないですが (スコア:3, すばらしい洞察)
決済がカードになって楽っても、どこかしこもやられるとクレジットカードの枚数がぼこぼこ増えて管理がめんどくさいったら……。
#社員証にクレジットカードつけてつけてなんに使うんだ~
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:ここで言うことじゃあないですが (スコア:3, 参考になる)
聞いた話だと、会員証・社員証の類にクレジットカードをつ
けると、普通に作ったら自社負担になる発行費用をクレジッ
トカード会社持ちにできるとか。
Re:ここで言うことじゃあないですが (スコア:1)
んなっ!? そうだったのかぁ。会社に悪いことしちゃったなぁ (^_^; 。
むらちより/あい/をこめて。
Re:ここで言うことじゃあないですが (スコア:2, すばらしい洞察)
会社が、カード発行会社からのリベートとか貰いたいんじゃないの?
/* Kachou Utumi
I'm Not Rich... */
Re:ここで言うことじゃあないですが (スコア:0)
#臆病な臆病者
とはいえ (スコア:1, 興味深い)
会社が給料を担保にして保証してやればいいのに・・・・
しかし、そういう場合はいったいどうするんでしょうね。
クレジットカードなしの社員証があったとしても、その社員証を使うということはブラックリスト掲載中を公言するようなもんだし。
Re:とはいえ (スコア:2, 興味深い)
Re:とはいえ (スコア:1)
マスターデビットなら、ブラックでも殆ど問題なく発行されますから。
もっとも、この場合は、会社とカード発行会社との関係がでてくるけどね。
#勤務先が給与を担保にして保証しようが、カード発行会社がOK出さないとどうしようもないしね。
社員がブラック属性でカードが発行できないのであれば、会社側が法人カードを発行して、社員に持たせてやる
という手段もあるけどね。特に、経費決済用に持たせておけば、事務の手間も楽になるかと。
そう言えば、一般会員用のカードと法人カードが一体化したカードがあれば、結構便利になるんじゃないかと、
思っている人もいると思う。
/* Kachou Utumi
I'm Not Rich... */
Re:ここで言うことじゃあないですが (スコア:1, すばらしい洞察)
紛失防止かも。ただの社員証だと管理に緊張感がもてないが、クレジットカードを付けると失くせば社員自身も損をする可能性があるのできちんと管理するとか。
Re:ここで言うことじゃあないですが (スコア:1)
カード会社に管理業務を委託することにより省力化を図る目的だと思います。
言ってしまえばアウトソーシングのはしり?
# 基本的にカード会社の情報機密性は高い「はず」なので
---- 何ぃ!ザシャー
Re:ここで言うことじゃあないですが (スコア:1, 興味深い)
# そもそもそのクレジット会社、子会社なんですよね(某通信会社リースと言う会社)
IC カード付きの社員証なので、入館、入室、マシンのログイン、食堂の食券と社員証がないと一日が送れないので AC。
Re:ここで言うことじゃあないですが (スコア:1)
某通信大手の社員の方が、クレジット機能つきの
社員証ぶら下げて歩いてるのを良く見かけましたが。
便利そうに見えましたが、そうでもないのね。
#今の会社は来年度からのICカード式を検討中
#実際どうなんだろう
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
Re:ここで言うことじゃあないですが (スコア:1)
ある面では便利なようです。
Re:ここで言うことじゃあないですが (スコア:1, 参考になる)
#自分の大学なのでAC
Re:ここで言うことじゃあないですが (スコア:1)
# 社員証にクレジットカードつけてつけてなんに使うん (スコア:1)
しかし、社員証にクレジット番号が書いてあるのは、まずいはずなんだ。
社内の要所を通過するためには、社員証が必要だ。だから、胸に社員証をぶら下げている人が、結構いる。そのクレジット番号を控えれば、Amazonで買い物ができるな……と。
社員証は身分証で、見せて回る必要がある。クレジットカード番号は、決済の時以外はできるだけ見せない方がよい。この2つを一緒にしようというのは、センスの悪い思いつきなんだろう。
ああ、ホテルのカードなら、あまり問題ないはず。ホテルのカードを使う時って、よくホテル代金を払うから。
Re:ここで言うことじゃあないですが (スコア:0)
(借金などの)履歴を調べるためだと聞いたことが
ありますが本当なんでしょうか。
※カードの審査がはじかれる → 異動情報持ち
Re:ここで言うことじゃあないですが (スコア:0)
仕事に必要なものは、電話・メール等で上司の許可を得るだけで、このカードを使って買うことができます。
もちろんその分の請求は会社にきます。
スピーディーでよいのですが、プライベートの買い物もゴールドカード分使えてしまうので、破産するひとがいそうです。。
Re:ここで言うことじゃあないですが (スコア:2, おもしろおかしい)
怖いなぁ (スコア:2, 興味深い)
パスワードすら無いし…。
そういえば、VISAかどっかがインターネット決済のセキュリティ対策やってたような気がするけど、どんなのだっけ…?
Re:怖いなぁ (スコア:3, 参考になる)
同様のサービスとしてJCBのJ/Secure [jcb.co.jp]というのもあります。
Re:怖いなぁ (スコア:1)
Re:怖いなぁ (スコア:0)
そこ、phishingサイトにしか見えないんですが、
なぜにそう思えてしまうんですかねえ。何かが変。
Re:怖いなぁ (スコア:2, 興味深い)
印象悪かったので本物へも未だ登録してません……。
Re:怖いなぁ (スコア:3, 参考になる)
私のカードはNICOSなのですが,
SkypeOutと某パソコンショップでの決済の時,
NICOSのWebのサービス [nicos.co.jp]に用いるIDとパスワードも聞かれました.
どうやらNICOSカードで,かつNICOSのWebのサービスに申し込んでいるときは,
そのアカウントでも認証しないと決済しないようです.
VISAじゃないけどNICOSもそれっぽいことやってるぞということで.
# 最近はセキュリティーコード [sonystyle.com]を使わないと決済できない場合も少しずつでてきましたが,
# それもカード自体の盗難には無意味ですね….
Re:怖いなぁ (スコア:2)
>NICOSのWebのサービスに用いるIDとパスワードも聞かれました.
店員さんに聞かれてそれを教えてしまうなんてよくないぞ。と思ってしまった。(^_^;;
ということではなくて、
「Web上で決済しようとした時に、上記のIDとパスワードの入力を求められた」
という事なんですよね。
#ところで、
#件の「NICOSのWebのサービス」のログインに関してですが、ID、パスワードのFORMがSSLでないページ上にあります。
#「ログイン時のセキュリティについて」で
#なんて書いてありますが、安心できません。ログインページの正当性、安全性は誰が保障してくれるのでしょうか。
#決済時にも使用するID,パスワードなんだから、ぜひ入力フォーム自体もSSLで暗号化されたページにしてください。
#その甘さが原因でID,パスワードが情報流出しないことを祈ります。(と、まとめてみる)
Re:怖いなぁ (スコア:1)
一瞬、技術的にもんだいねぇーと突っ込みかけましたが、よく考えると、
という意味なのですね・・・orz
---にょろ~ん
UCカードも (スコア:1)
確認させられました。突如日本語が出てきてびっくりした記憶が。
Re:怖いなぁ (スコア:1)
以前変な請求が来たのでカード会社に電話したことがあります
すぐにカードを停止して番号を変えて再発行してくれました
調査に一ヶ月ほどかかりましたが、無事に返金されたので大きな問題にはなりませんでした
#海外のウェブサイトで電化製品を買われたようでした
クレジットカードだとカード会社ががんばってくれるので、よかったです
引き落としの内訳をしっかり確認しておけばあまり大きな問題にはならないと思います
#もちろん自分でも情報を漏らさないように気をつける方向で
Re:怖いなぁ(オフトピ) (スコア:1, 参考になる)
そんなわけで最近は家でもシュレッダーを使ってます。
#ダイソーの200円のやつだけど
Re:怖いなぁ(オフトピ) (スコア:2, 興味深い)
そもそも控え伝票にそんなに仔細に情報を表示する必要はないでしょ、という話がありますね。
金融機関がこうした問題に敏感でないというのは論外ですが、一般商店の店員や消費者もけっこう感覚が鈍いのかもしれません。
以前、漫画喫茶に入ろうとしたら「会員制です。登録には身分証明省が必要です」と言われ、「今日は身分証明書を持ってません」と言って帰ろうとしたところ、「クレジットカードでもけっこうですよ。ただ、こちらでコピーを取らせていただくことになるんですが」と言われて驚いたことがあります。なにが悲しくて漫画読むだけのために、そんな危険なことをせにゃならんのか。
まあ、実際には、その他の身分証でも、コピーを取られる以上はあまり安全とは言えないような気がしますが……
05/02/22 00:15:12 (スコア:2, 参考になる)
不正利用された本人が一週間ほど経って掲示板に質問した模様。
ネットの上での報告はこれが初出でしょうか。
やっぱり遅いですかね?>対応
マスコミ発表の速度 (スコア:1, 参考になる)
Re:マスコミ発表の速度 (スコア:1, 興味深い)
(それを用いてソフトバンクを強請ったことはされたが)
漏洩した情報も、住所氏名メアド程度。
それに対し、今回の漏洩事件では、流出した情報はクレジットカード情報など
かなり重要なものであり、さらに悪用された。
前者は500円の商品券で、後者は1000円の宿泊割引券。
金額には差があるように思えるが、後者はいらないモノ。
なぜならこういう被害を受けたなら、二度と利用しないというのが
正しい選択肢だから。
客観的に見て、今回の被害は酷いものだし、詫びも詫びになっていない。
発覚後の対応も遅すぎるし、もっと批判を受けていいものだと思う。
Re:マスコミ発表の速度 (スコア:1, 参考になる)
>正しい選択肢だから。
どこが正しいんだか・・・
そういうサドゥンデスの消費行動を取ると、結果的に隠蔽体質の所に消費者が集まるだけですよ。
無論事故を起こした事は反省しなきゃいけないし、改善もしなきゃいけないのは間違い無い。
しかし、事故を起こしていない所というのは
- きちんとした情報の取り扱いをしていて、情報漏洩リスクを最小限にしている(結果運良くまだ事故に遭遇していない)
- 情報の取り扱いはザルだが偶然運良く事故に遭遇していない
- カンペキな隠蔽処理によって事故が表に出ていない
と3通りあって、1以外を選ぶのは一度事故を起こした所を選ぶのと何ら違いは無い。1であっても事故は起こり得るし。
発覚後の対応が遅いと言うけど、既に被害者のカード交換とかしてる訳で、それが終わってから発表したから発表が遅くなってるだけでしょ。
漏洩が発覚してから、漏洩範囲を特定して、カードを再発行してという手順を踏んでいたら1ヶ月ぐらいかかるのは当然です。
実際被害に遭った会員にしてみれば、自分に何も連絡が無いうちに、いきなり報道で「漏れたらしい」と知らされるよりは、まずは直接知らされて、対応が終わった後で公表される方が良いだろうし。
公表する事によって被害が減る場合であれば別だけど、今回の場合は会員でも何でもない人に公表するのは一番最後でいいでしょう。
Re:マスコミ発表の速度 (スコア:1)
# その結果が500円という相場形成ですな。
というわけで,考え方の存在はそれなりに必要なのでは,と。
まー当たり前ですが,謝ればチャラになるってのは甘いですな。
Re:マスコミ発表の速度 (スコア:0)
Re:マスコミ発表の速度 (スコア:0)
金券屋にはいくらで売れるんだろう。
Re:マスコミ発表の速度 (スコア:2, すばらしい洞察)
個人的には、宿泊券よりは、キャッシュバックしてもらう方がありがたいと思ってる人が多いのでは。
あの値段で、ネットへの接続性が良いのを理由によく泊まるのでID
/* Kachou Utumi
I'm Not Rich... */
Re:マスコミ発表の速度 (スコア:1)
普通そうだよね。
年会費分の宿泊券が送られてくるのに。
1泊無料にすりゃいいのに (スコア:1)
# そうすると、もっと金券屋に流出するって:-)
Re:マスコミ発表の速度 (スコア:0)
1000円券×1枚では3割でも引き取らない気がする。
マスコミ発表までの (スコア:1)
混乱を招く可能性があったとしてもとりあえずの段階で情報を出してしまうのか
一通り情報を整えるまで発表を控えるのか。
個人的には、クレジットは保険がしっかりしてるので
問題ないレベルだと思いますし、
その後の対応は結構すばやいと思います。
LAN内LAN稼働中
東横イン (スコア:0)
は、何回見ても、つい東急イン [tokyuhotels.co.jp]だと思ってしまう。
Re:東横イン (スコア:2, おもしろおかしい)
> 電話で「東横イン」といいますと、よく東急インに間違えられますが、
> 東急グループとは関係がありません。
http://www.toyoko-inn.com/corp/outline.html
Re:東横イン (スコア:1)
お詫び代500円じゃないんだ (スコア:0)
Re:お詫び代500円じゃないんだ (スコア:1)
おまえ、東横インの宿泊費調べたか?
Re:顔写真の保持 (スコア:1)
いや,何気に思っただけだけど。
#電子透かしとか入れてるのかなァ?
Re:顔写真の保持 (スコア:1, 興味深い)
よって収集利用する場合は利用目的を明らかにしておかなくてはいけませんし、
本人の求めがあれば利用を中止しなくてはなりません。
#ただし「消去」までは義務付けられていないし、
相当な理由があれば断ってもいいんだそうだ。
(その写真が何かの決定的な証拠だとか、
要求内容からは消去すべきなのがどの写真か判断
できないとか)