楽天メルマガの個人情報89件、Webから閲覧可能に ユーザー自ら専用URL公開で

楽天市場のメルマガユーザーの氏名など個人情報89件が、検索サイトからアクセスできる状態になっていた。ユーザー宛てにメールで送った個人情報入り画面のURLを、ユーザーが自らソーシャルブックマークなどに掲載していたことが原因という。

[ITmedia]

閲覧可能だったページの例

　楽天は10月1日、楽天市場のメールマガジンユーザーの氏名など個人情報89件が、検索サイトからアクセスしたり、第三者が改ざんできる状態になっていたことを明らかにした。

　同社によると、ユーザー宛てにメールで送った個人情報入り画面のURLを、ユーザーが自らソーシャルブックマークやブログなどに掲載していたことが原因という。同社は検索サイトにキャッシュなどの削除依頼を行い、URLに第三者がアクセスしても個人情報が見られない仕様に変更するなど対策した。

　89件の大半は氏名、メールアドレスのみだったが、ユーザーによっては、性別、生年月日、在住都道府県も分かるようになっていた。クレジットカード番号などは含まれていない。

　9月26日にユーザーからの問い合わせで発覚。原因を調べた。ユーザーがメールマガジンの登録情報を変更する際、メールアドレスを指定すれば、登録情報変更用のユニークなURLがメールで送られてくるが、そのURLを、ユーザー自らソーシャルブックマークやブログ、Q＆Aサイトに張り付けたため、検索サイトのクロール対象となったことが原因と分かったという。

　同社は「当該URLの想定を超えた使い方」としながらも、26日に、情報が検索エンジンのクロール対象にならないようシステムを改善し、検索サイトに削除を依頼。30日には、そのURLに第三者がアクセスしても、個人情報を見たり、内容を改ざんできない仕様にした。

　該当するユーザーには10月1日夕方に、事情を説明するメールを配信。個人情報が表示されるURLについては、ソーシャルブックマークやブログで不用意に公開しないよう注意を呼び掛けた。

　検索結果などから「1000件以上の個人情報が流出した」と推測する声もネットの一部にあったが、検索結果には相当の重複があり、名寄せした結果、89件だったという。