楽天、楽天カード、楽天Edyは12月25日、利用中の営業管理用SaaSが不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表しました。営業管理用SaaSのセキュリティ設定にミスがあったことが原因とのことです。
漏えいした可能性があるのは、楽天では2016年1月から20年11月までにECサイト「楽天市場」の法人向け資料を請求した企業の名称や住所など(最大138万1735件)。楽天カードでは13年4月から20年7月の間に事業者向けビジネスローンに申し込んだ法人の住所や口座番号、売上高など(最大1万5415件)。楽天Edyでは10年10月から20年11月の間に、携帯端末が故障した際の残高移行サービスに申し込んだ人の氏名や電話番号など(最大8万9141件)
このうち楽天で208件、楽天カードで304件、楽天Edyで102件の情報は実際に流出を確認していますが、同日の時点では、流出した情報が悪用された例は確認していないとのことです。
不正アクセスが判明したのは11月24日。社外のセキュリティ専門家の指摘で、営業管理用SaaSの情報が社外からアクセスできる状態になっていたことが分かったとのことです。26日までにシステムの設定を変更。その後は外部からのアクセスが見つかっていないとしています。
問題発覚後は、情報が第三者に閲覧された可能性がある顧客への案内を行うとともに、中央省庁や個人情報保護委員会への報告を行ったとしています。