(2021年1月26日更新)
楽天カードに関するお知らせ内容の一部を更新いたしました。
当社およびグループ各社は、当該システムの提供元に対して、本件の発生原因についてのセキュリティ関連のシステムの仕様変更や再設定の案内についての詳細情報を継続して求めております。また、本件による影響を新たに確認した場合には、お客様へのご案内やお問い合わせへの対応を行っております。
本件については、当該システムの設定変更を2020年11月26日(木)までに完了し、新たな社外の第三者からのアクセスは確認されておりません。当社およびグループ各社は再発防止に向けて、今後も本件の原因について当該システムの提供元への確認を引き続き徹底し、さらなる対策の検討・実施を進めてまいります。
このたび、楽天株式会社および楽天カード株式会社、楽天Edy株式会社は、社外のクラウド型営業管理システムに保管された一部の情報に対する社外の第三者からのアクセスを確認しました。本件を受け、各社では当該システムの設定変更を2020年11月26日(木)までに完了し、社外の第三者からのアクセス状況について調査を行っています。当該システムの設定変更後は、社外の第三者からのアクセスは確認されておりません。また、現時点では本件の影響による法人・個人のお客様への被害等は確認されておりません。
お客様にご迷惑とご心配をお掛けしましたこと、心より深くお詫び申し上げます。
本件の概要と対応について、以下の通りご報告いたします。
1.経緯
2020年11月24日(火)、社外のセキュリティ専門家の指摘により、社外のクラウド型営業管理システムに保管された一部の情報が、社外の第三者からアクセスできる状態であったことが判明しました。同日、社内のセキュリティ専門部署が中心となり、当社および楽天カード、楽天Edyにおける対応を開始し、当該システムの設定変更を11月26日(木)までに完了しています。
また、当該システムに対する社外の第三者からのアクセス状況について調査を行った結果、現時点では当社および楽天カード、楽天Edyが管理する一部の情報に、社外の第三者による海外からのアクセスがあったことを確認しております。当社および楽天カード、楽天Edyでは、当該システムの設定変更後、社外の第三者からのアクセスは確認されておりません。本件による影響に変化等が確認された場合は、随時お知らせいたします。
2.社外の第三者からのアクセスの可能性があった情報
楽天株式会社:
「楽天市場」への法人向け資料請求者および店舗情報
項目: 一部の出店見込/契約済事業者の企業名、店舗名、住所、代表者名、担当者名、電話番号、Fax番号、メールアドレス、営業対応情報等
可能性があった期間: 2016年1月15日(金)-2020年11月24日(火)
可能性があった最大件数: 1,381,735件(うち、現時点でアクセスが確認された件数: 208件)
※詳細については以下のリンク先もご参照ください。
https://event.rakuten.co.jp/top/announce/20201225/
楽天カード株式会社: 事業者向けビジネスローン申込者情報
※楽天カード(楽天ビジネスカード含む)会員様の情報は、別のシステムにて管理しているため、本事象による影響はございません。
・対象となるお客様: 2013年4月1日(月)-2020年7月18日(土)に、ホームページよりビジネスローンをお申込されたお客様
※お電話にてお申込みされたお客様は対象となりません
項目:
法人または個人事業主: 名称、住所、メールアドレス、売上高、売上原価、借入状況、法人口座(銀行名・支店名・口座番号・名義)等
代表者: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、借入状況、勤続年数、運転免許証番号、個人口座(銀行名・支店名・口座番号・名義)、年収等
保証人: 氏名、住所、電話番号、生年月日、居住状況、世帯人数、勤務先(名称、住所、電話番号)、運転免許証番号等
融資希望: 金額、開始日、期間、返済方法、資金使途、利率、審査結果等
※お客様によって、入力情報は異なります。
可能性があった期間: 2016年1月15日(金)-2020年11月26日(木)
可能性があった最大の法人・個人事業主数: 16,895件(うち、現時点でアクセスが確認された件数: 304件)
※2021年1月26日(火)に15,415件から更新。新たに対象となったお客様は、2013年4月1日(月)~2020年7月18日(土)に楽天カードのホームページよりビジネスローンをお申込みされたお客様のうち、2016年1月15日(金)~2020 年11 月26 日(木)にお客様専用ポータルサイトが発行された1,480件となります。アクセスの可能性があった期間はお客様により異なりますが、お申込み完了からお客様専用ポータルサイトが発行されるまでとなります。なお、該当する法人・個人事業主のお客様には、楽天カードより2021年1月23日(土)に個別にご案内させていただいております。
※詳細については以下のリンク先もご参照ください。
https://www.rakuten-card.co.jp/info/news/20201225/
楽天Edy株式会社: 故障した端末の残高移行サービス(注)申込者情報
項目: 氏名、故障端末の電話番号、Edy番号等
※お客様によって、入力情報は異なります。
対象となる端末とサービス申請期間:
- 「おサイフケータイ®」機能付き携帯電話 2010年10月1日(金) -2019年3月4 日(月)
- docomo select「おサイフケータイ® ジャケット01」 2014年10月30日(木) -2020年11月18日(水)
- ソニー製ハイブリッド型スマートウォッチ「wena™ wrist」シリーズの一部 2016年3月24日(木) -2020年11月18日(水)
可能性があった期間: 2016年1月15日(金)-2020年11月26日(木)
可能性があった最大の申込者数: 89,141件(うち、現時点でアクセスが確認された件数: 102件)
※詳細については以下のリンク先もご参照ください。
https://edy.rakuten.co.jp/company/press/2020/1225_notice/
(注)Edyレスキューサービス
3.原因
社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備
4.現時点で実施している対応
各社にて、以下の対応を実施しました。
(1)当該システムの設定変更
2020年11月26日(木)までに各社において、社外の第三者によるアクセスを防止するため、当該システムの設定変更を行いました。設定変更後、社外の第三者からのアクセスは確認されておりません。
(2)情報が閲覧された可能性がある法人・個人のお客様へのご案内
楽天市場、楽天カード、楽天Edyの各サービスにおいて、法人・個人のお客様に対して本件の概要および被害に遭われた際のお問い合わせ先のご案内等を行ってまいります。
(3)監督官庁および個人情報保護委員会への報告
社内調査結果をもとに、楽天カード、楽天Edyより各監督官庁へ、当社より個人情報保護委員会へ報告を行いました。
5.本件に関するお問い合わせ先
本件に関する各サービスへのお問い合わせは以下のリンク先をご参照ください。
楽天市場
https://event.rakuten.co.jp/top/announce/20201225/
楽天カード
https://www.rakuten-card.co.jp/info/news/20201225/
楽天Edy
https://edy.rakuten.co.jp/company/press/2020/1225_notice/
※お客様にご迷惑およびご心配をお掛けすることとなりましたことを心より深くお詫び申し上げます。お客様が個人情報の悪用などの実害を被られた際には誠意を持って対応させていただきます。お手数をお掛けしまして誠に申し訳ありませんが、各サービスまでご連絡いただきますようお願い申し上げます。
6.再発防止策
楽天グループでは今回の事態を厳粛に受け止め、社外のクラウド型営業管理システムの利用に対するセキュリティ管理の強化および定期的な見直し等を行い、再発防止に努めてまいります。
※本文中に記載されている会社名および商品名は、各社の商標または登録商標です。
2020年12月25日
- 楽天株式会社
クラウド型営業管理システムへの社外の第三者によるアクセスについて
以 上