2018年1月、カラーミーショップで不正アクセスがあり、個人情報の流出がありました。お客さんの個人情報をはじめ、ショップオーナーの情報も流出しています。
ペパボから最大約9万件の個人情報流出か カード情報1万2200件も
GMOペパボは1月26日、ネットショップ運営サービス「カラーミーショップ」が不正アクセスを受け、ユーザーの個人情報、最大約8万9500件が流出した可能性があると発表した。うちクレジットカード情報が最大約1万2200件含まれる。(出典:ITmedia ビジネスオンライン、2018年1月26日)
カラーミーショップは、ショッピングカートといったネットショップ運営に必要なシステムを提供している大手ですので、ネットショップを運営している者にとっては大きなショックでした。
私のお店でも利用していることから、こちらのサイトでも紹介させていただいており、このサイトがきっかけで、ご利用になっているショップオーナーさんには大変申し訳ない気持ちです。
「カラーミーショップ」における情報流出に関するご報告とお詫び
このたび、GMOペパボ株式会社(以下、「弊社」)が運営するネットショップ運営サービス「カラーミーショップ」(以下、「本サービス」)において、第三者による不正アクセスが確認され、本サービスを利用してネットショップを運営いただいている一部のお客様(以下、「ショップオーナー様」)の情報の流出と、一部のショップオーナー様および本サービスを利用しているネットショップで購入された一部の方(以下、「購入者様」)のクレジットカード情報の流出、またはその可能性があること(以下、「本件」)が判明いたしました。(出典:GMOペパボ 2018年1月26日)
「カラーミーショップ」における情報流出に関するご報告とお詫び:
https://pepabo.com/news/information/201801260800
被害に遭ったお客さんへの各ショップの対応
割合で言えばショップオーナーさんの個人情報流出がほとんどといっていかもしれませんが、お客さんのクレジットカード情報流出でも3000件ほどあるようで、お客さんの個人情報が流出したお店では、これからの対応が大変でしょう。
カラーミーショップ側の落ち度であっても、お客さんはお店から買っているわけで、批判がお店に向けられても弁解が難しいです。
楽天市場のようなショッピングモールであれば、システムに不具合があれば、お店より楽天市場そのものが批判される傾向にあります。楽天市場のお客さんの多くは、出店店舗から商品を購入しているけど、楽天で買っている、楽天に支払っていることを理解していると思います。
しかし、カラーミーショップは、いわばバックヤードでお店のシステムを支えているので、お客さんの方は「カラーミーショップってなに?」という認識レベルでしょう。お店でフォローをしていかないと常連さんを逃してしまうリスクがあります。
カラーミーショップでは、お店で購入されたお客さんで情報流出の可能性のある方に、下記のように案内を出しています。
対象となるショップオーナー様から本件に関する詳細についてご連絡がありますのでご確認をお願いいたします。
カラーミーショップからお客さんに直接連絡しても、カラーミーショップって誰?ということで、話がややこしくなる可能性がありますので、仕方ないかもしれません。
カラーミーショップ側の責任である今回の一件ですが、お店側としては、すべて人のせいにしてしまう対応を取ると無責任と思われて、お客さんをさらに怒らせてしまうこともありますので慎重に対処したいところです。
1月26日の情報公開で、金曜日ということもあり、土日はお休みのお店でも、お客さんへのお詫びのメールや電話対応で休み返上となっているところもあるかもしれません。バレンタインセールで忙しい中で、こういったトラブルがあることに憤っているショップオーナーさんもいるでしょう。
お店側の顧客対応に関する負担、さらには大切な顧客を失う可能性という大きな損失に対して、どう対応してくれるのか、カラーミーショップからその種の話がまだ出ていないようですが、細かく規約を見るとこの手のことは免責になっているのかもしれません。
お店から見た個人情報流出の経緯
20年近くネットショップをやってきて、こういった個人情報流出の被害に遭ったのは初めてだと思います。私のお店では、お客さんの情報は漏れていませんが、自分のオーナー情報(氏名や住所等)が流出した可能性があるそうです。
異変を感じたのは、2018年1月19日(プレスリリースの1週間前)に、「急ぎ、カラーミーショップ管理画面にログインするパスワードを変えてください」といった内容のメール連絡がきたときです。
普段なら、「パスワードを早めに変えてくださいね」といったように緩い案内なのですが、今回は「今すぐ変えてください。3日以内に変えないとこちらで勝手に変えます」といった至急の依頼で(実際はもっと丁寧な文面でしたが)、「急になに?」と思いました。
まさか、パスワード流出してないよね。流出していたらショップオーナーにのんびり聞いている場合ではないでしょ・・・・みたいな。
そして、2018年1月26日にプレスリリースが公開され、個人情報の流出が発表されました。ここで、ショップオーナーの個人情報の他に、カラーミーショップにアクセスするためのIDとパスワードも含まれていたことを知りました。
カラーミーショップ側の対応に疑問?
カラーミーショップでは、2018年1月7日に不正アクセスがあり、個人情報流出が起こっている事態を把握しながら、正式なプレスリリースは1月26日でした。
不正アクセス発生から20日近くも経過していることから、今頃になって被害を公表していることに一部批判がでているようです。その件に関する弁明と経緯は、ホームページで説明されているので割愛しますが、まずは被害状況の確認と安全確保を優先したということのようです。
被害に遭った側が言うのもなんですが、パニックになったお客さんやショップオーナーからの対応に追われるより、まずはセキュリティの確保を優先したいというのは、批判を覚悟した対処としては仕方ない面があるでしょう。
顧客やメディア対応に増員しているうちに、ハッカーにもっと攻撃されて情報が流出したら本末転倒です。クレジットカードの情報流出については、クレジットカード会社に情報提供して早急に対処したという情報が出ていました。
でも、3週間近くも、顧客であるショップオーナーをほっとく?という疑問は残ります。
カラーミーショップは、ネットショップ運営システムの中では古参の一つで、ネットショップの繁栄と共に大きくなってきました。
他のシステムと少し違って、ショップオーナーと二人三脚でショップを盛り上げていく印象があったので、その面でも少し残念な気がします。
会社規模が大きくなって、社会的な責任もあり、市場や株主対策などを優先的に考えないといけない一面もあったのでしょうか。
どこまで情報を拡散するべきなのか
被害に遭ったお客さんへの対応は必要ですが、わざわざホームページやSNSで、すべてのお客さんに告知する必要はないと考えているお店も多いかと思います。
変にお客さんの不安を煽るような情報を出すより、いつも通りショップを運営したいと考えるオーナーさんもいるでしょう。この辺りは、ショップオーナーさんの考えやお店の運営方針によります。
個人のブログやツイッターとは違って、責任あるショップオーナーとしては、なんでもお客さんと情報をシェアすればいいものではないと思います。ただ、注意喚起するという意味では、情報の出し方に気をつければ、それは丁寧な対応になることがあるかもしれません。
コインチェックでも不正アクセス
「カラーミーショップの個人情報流出のお詫び」と同日、大手仮想通貨取引所のコインチェックでも不正アクセスがあり、緊急の記者会見が行われました。
コインチェックでは、顧客から預かっていた仮想通貨NEM(ネム)が約580億円分も流出した!ということで、不正アクセスということでは、カラーミーショップのニュースは吹っ飛んでしまった感があります。
個人情報も大事ですが、不正アクセスで仮想通貨580億円相当が盗まれたとは半端ないです。億単位の被害になる可能性のある顧客がいるといったニュースも出ており、大変な騒ぎです。
カラーミーショップでは、金銭的な被害は今のところ報告されておらず、二次的な被害も確認されていないそうです。だから今後も大丈夫とは言えませんが・・・。
個人情報が勝手に使われることに気をつけたい
あるショッピングサイトでは、アカウントが何らかの方法で乗っ取られて、詐欺行為(お金を払ったのに商品を発送しない、粗悪品が送られてきた、クレジットカード情報だけ取られたなど)が行われたことがありました。
勝手に個人情報を使われた出品者や店主には、詐欺にあったお客からクレームがよせられて困り果てていました。
自分の個人情報が勝手に使われた上に詐欺行為が行われて、その被害者たちが、本来関係のないお店に抗議の電話をかけてくるなんて、ショップオーナーとしては想像しただけでも怖いです。
自分の名前とショップ名を検索するのページでもご案内しましたが、個人情報が勝手に使われていないか、時々、自分の名前や住所等で検索をして、勝手にお店が出されていないかなどチェックしておいた方がよいかもしれません。
これからの利用をどうするか
この一件で、カラーミーショップに見切りをつけるショップオーナーさんがいても仕方ないでしょう。ただ、ある程度の規模になると、顧客情報や商品情報を他社のシステムに移して、新しい環境で運営をしていくのは簡単ではありません。
もし、カラーミーショップだけでお店を運営しているのであれば、楽天市場、Yahoo!ショッピング、BASEなど、別のお店での同時運営も検討されてみてはいかがかと思います。詳しくは、2店舗以上の運営で危機対策をしようのページを参考にしてください。
カラーミーショップで流出した個人情報の多くがショップオーナー自身のものであったことで、胸をなでおろしているオーナーさんもいると思います。もちろん、自分の個人情報が盗まれるのは嫌ですが、お客さんの情報が流出するよりはましというレベルです。
昨今のカラーミーショップを見ていると、色々なアプリを出したり、お客さんに使いやすいショップサイトになるように改変をしたり、もっとお客さんに来てもらってお店を盛り上げようという様々な取り組みが行われていました。ところが、必ずしも売上に直結しないセキュリティの強化といった面では、それほど目立った情報はなかったように思います。
ショップオーナーとしては、もっと使いやすいシステムを希望したり、もっと売れるシステムが欲しいといった要望を色々出してきたと思いますが、これからはセキュリティの面で要望を出していく必要があるかもしれません。
まだ後処理が終わる前に言うのもなんですが、この一件によってカラーミーショップがセキュリティーを強化して、安全なネットショップ運営システムに変わっていくことを願うばかりです。
