事故から学ぶ

「成人動画の視聴履歴」流出で正式謝罪  氏名・住所・電話番号など10項目が別人に漏れた恐れ SODプライム

事故概要

業種 動画配信サービス
発生時期 2020/03/13-03/16
漏えい人数 未発表
事故概要

成人向け動画サービス「SODプライム」で利用者の個人情報が流出した問題で、運営会社の「ソフト・オン・デマンド」は謝罪した。ソフト・オン・デマンドは有料作品約200本を、3月末まで無料配信にするキャンペーンを実施し、参加するには会員登録のため、メールアドレスやクレジットカード情報などを登録制度を取ったが、登録した個人情報の一部をほかの利用者が閲覧できる状態になっていたため流出した。
複数の利用者の証言によれば、自身の会員ページを開いたところ、他のユーザーの「アカウント名」「メールアドレス」「動画の閲覧履歴」が一時閲覧できる状態だったという。あるユーザーは、キャッシュ(ネットの一時ファイル)を削除してページを更新するたびに、ユーザー情報が切り替わった。「クレジットカード情報」「ログインパスワード」も表示されたが、記号化されていた。

流出の恐れがある会員情報は「氏名」「住所」「電話番号」「ニックネーム」「メールアドレス」「購入履歴」「視聴履歴」「レビューリスト」「投稿動画」「会員ステータス」の10項目。16日の19時23分~22時57分、17日の8時25分~21時8分にログインした会員に、別の会員情報が表示された可能性があるという。
キャンペーン開始後、決済代行会社から「利用者から、『自分のアカウントでログインしたら、他人のアカウントに切り替わった』との連絡があった」との通報を受け、すぐにアクセスを遮断した。「個人情報をキャッシュしない」などの対策をして、17日にサイトを再開したものの、利用者から同様の苦情があったため、再びアクセスを遮断し、現在はサイトを非公開にしている。原因は調査中としている。
個人情報流出をめぐっては、ネット通販「アマゾン」でも同様の問題が起きた。システム変更時の設定の不具合により、利用者の氏名、住所、注文履歴などがほかの利用者に表示され、政府の個人情報保護委員会は19年10月、アマゾンジャパンに再発防止を求める行政指導を行った。

引用元 JCAST NEWS

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-9(第20条)安全管理措置 作業ルールの徹底(システム管理)

チェックリストにある要求ルール:

チェックリストにある要求ルール:
社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?

■ 推奨対策

対策:

システム誤動作は原因が色々考えられ、複数の組み合わせで発生することもあるため、想定外の事故を招いてしまう。個人情報を取り扱うサイトは、徹底的に複数アカウント、複数の環境からのアクセステストを行わなければならない。

具体例:

技術者が想定する事象は、実際に発生する事象の1割に過ぎない、という発表もあるので、誤開示防止策はとにかくテストを徹底的に行うことである。
エンジニアのテストは、登録や購買動作に不正が無いか、という点に偏り、不都合なものが表示されているかへの意識は薄い。この手の事故防止はユーザ対応をする部署が行うことと、テスト計画に個人情報が表示されないこと、を加えておく必要がある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。