■カード番号やセキュリティコード　氏名や住所などの個人情報も漏えいか

ホビーショップ駿河屋は12月4日、第三者による不正アクセスによって、顧客のクレジットカード情報が漏えいした可能性があると明かした。その数は3万件を超えるという。情報流出の調査終了から発表まで2カ月近くかかったことに、賛否が巻き起こっている。また、駿河屋の利用者からは「いつか起きる予感があった」との声も出ている。

再発防止策は機能せず…静岡県庁で情報漏えい連発　4日間で3件も

静岡市に本社を置く駿河屋はゲームや古本などを取り扱うホビーショップで、通販サイト「駿河屋.JP」を運営している。駿河屋によると、この通販サイトでカード決済した利用者のカード番号や名義人名、有効期限やセキュリティコードが漏えいした可能性がある。

氏名や住所、電話番号やメールアドレスといった個人情報も流出した恐れがあるという。クレジットカードは3万431件、付随する個人情報は2万9932人分に上るという。

情報漏えいは8月4日に外部からの問い合わせで発覚した。社内調査の結果、監視ツールの脆弱性を突かれ、決済ページで使用するJavaScriptが改ざんされたことが原因だったと判明。同月8日に個人情報保護委員会への報告や警察への相談を行った上で、クレジットカードの決済機能を停止した。

その後、外部専門家による「フォレンジック調査（事件の証拠となるデジタルデータを収集・分析し、原因や法的根拠を特定する調査）」を開始して、10月10日に完了した。そして、約2カ月経った12月4日に調査結果の内容と今後の対応を発表した。

静岡市中心部にある駿河屋の店舗

■調査終了後に発表まで約2カ月　理解と批判が交錯

現時点では決済ページ以外の領域から個人情報が流出した証跡は確認されておらず、利用者にはクレジットカード利用明細の確認を呼びかけ、不審な請求があればカード会社へ速やかに連絡するよう求めている。アカウント保護の観点から、パスワード変更や2段階認証の有効化も推奨した。

希望する利用者については、カード再発行手数料が発生しないようカード会社に依頼済みとしている。調査結果の公表が12月となった理由については「再発防止策の実効性確保を最優先し、外部調査の完了後も関係各社との調整を続けていたため」と説明した。

今回の情報漏えい問題や駿河屋の対応については、議論が巻き起こっている。インターネット上では「フォレンジック調査の詳細報告なので、発表までに時間がかかるのは仕方ない」、「曖昧で中途半端な情報を小出しにされると、かえって不安が大きくなる。ある程度、原因や対応が見えてきた段階で正確な発表をしてもらった方が良い」と理解を示す声がある。

一方、「カード番号、名義人、有効期限、セキュリティコードが全て漏れてしまったら、悪用されるリスクが極めて高くなる。原因の説明を見ても、企業側がセキュリティ対策に追いついていない現状が浮き彫りになっている」、「駿河屋のオンラインショップは商品の到着が遅い。注文と違った商品が届いたこともあるし、その対応も良くない。手が回っていない印象を受けていたので、こういう事態がいつか起きるのではないかという予感があった」といった厳しい指摘もあった。

駿河屋は、セキュリティ対策を講じた上でクレジットカード決済を再開するとしている。再開時期は未定で、対応が完了次第、Webサイト上で案内する。問い合わせは土日祝日も含む午前10時から午後5時まで、電話（0120-596-309）またはメール（info2025@suruga-ya.co.jp）で受け付けている。

（SHIZUOKA Life編集部）