2008年10月01日(水) 18時33分
楽天で個人情報が閲覧可能な状態検索エンジン経由で(Impress Watch)
「楽天市場」のメールマガジンの登録情報ページが、検索エンジン経由で閲覧できる状況になっていたことがわかった。メールアドレスや氏名などが記載されており、合計で89件の個人情報が閲覧可能だったという。
問題となっているのは、メールマガジンの登録情報の確認や変更、配信停止を行うページ。メールアドレスと氏名のほか、登録してあれば生年月日や性別、都道府県も表示される。これとは別に、購読中のメールマガジンを一覧表示するページもある。なお、「89件の大半」(楽天広報部)は、氏名とメールアドレスのみが表示されていたという。
これらのページは、登録情報の変更手続きを行うユーザーに対してその都度ユニークなURLで提供され、登録しているメールアドレス宛に通知される。しかし、楽天がプログラムを修正するまでは、このURLを知っていれば他人でもアクセス可能な仕様になっており、第三者によって登録情報が変更される可能性もあったという。
楽天によれば、「閲覧可能だったのは、このページのURLをQ&Aサイトやブログなどに貼り付けたり、ソーシャルブックマークなどに登録して公開してしまったユーザーの登録情報ページ。これらのURLを検索エンジンが収集した結果、検索エンジン経由で他人の登録情報ページを参照できる状態になった」としている。
なお、個人情報を含むページに認証なしにアクセスできる仕様だった点について楽天は、「登録情報ページのURLがQ&Aサイトやブログに貼られるのは想定外の利用だった」とコメントしている。
楽天では9月26日にユーザーの指摘を受けて調査を開始。まずは29日に、登録情報ページのURLを検索エンジンのクロール対象から外すとともに、他人が登録情報を変更できないようにプログラムを修正。検索エンジン会社に対しては、キャッシュから登録情報ページを削除するよう依頼した。翌30日には、他人が登録情報ページにアクセスできないよう対策を施した。現在では、登録情報の確認・変更・配信停止を申し込んだブラウザからのアクセスしか受け付けないようになっている。
個人情報が閲覧可能だったユーザーに対しては、10月1日にメールで個別に連絡。今回の一件の経緯を説明するとともにおわびし、個人情報を含むページのURLを公開しないよう注意を促したという。また、楽天市場にも、今回の一件を説明するページを掲載している。
http://headlines.yahoo.co.jp/hl?a=20081001-00000038-imp-sci