株式会社白鳩は12月1日、11月7日に公表した同社が運営するECサイト「SHIROHATO」での個人情報漏えいについて、調査結果を発表した。
当該サイトでは、新規会員登録機能(楽天ID連携)のシステム上の不具合が原因で、特定の条件下(同時刻帯のアクセス等)で、登録手続き中の顧客の個人情報が、直後に同機能を利用した他の顧客の入力画面に誤って表示され、閲覧可能な状態となっていた。11月2日午後11時31分に顧客から問い合わせがあり、発覚した。
同事象の発生期間は2025年8月20日から11月4日で、漏えいした可能性があるのは最大176名の顧客の氏名(かな)、生年月日、性別、メールアドレス、住所、電話番号を含む個人情報。
同社では対象の顧客のうち、ログ調査で特定完了した169名の顧客に対し個別に謝罪と報告のメールを送付している。
同社では、外部機関を含めた詳細な調査の結果、当該機能の実装にてセッション管理(ユーザー識別処理)に関するプログラムに不備があり、複数ユーザーによる同時アクセス時に、他者の情報が呼び出される設計となっていたことが技術的要因としている。また、システムリリース前の受け入れテストにて、高負荷時や複数ユーザーによる同時アクセス等を想定した検証シナリオが不足しており、事前に不具合を検知できない管理体制であったことが管理的要因であったとしている。
同社では下記の対策を実施している。
・システム開発体制の強化(委託先連携)
システム開発委託先で、個人情報を取り扱う機能の実装におけるセキュリティ基準(セキュアコーディング規約)の遵守を徹底するとともに、設計・開発工程におけるリスクレビュー体制を強化。
・白鳩検収体制(受け入れテスト)の厳格化
個人情報を扱うシステムの改修・リリース時は、通常利用だけでなく、アクセス集中時等の異常系を含むテスト項目を必須化。情報システム部門責任者の承認をリリース条件とする運用へ変更し、内部統制およびチェック体制を抜本的に強化。
なお同社では、現在停止している「楽天ID連携」機能について、システムの根本的な改修と十分な安全性のテストが完了し、安全性が確認されるまで当面の間、停止するとのこと。
