メルカリのロゴ

写真拡大

 フリマアプリ「メルカリ」のウェブ版で6月22日、5万4180人分の個人情報が流出したと運営企業のメルカリが発表し、大きな話題となった。同社は公式サイトで謝罪し、経緯の説明をした。

 説明によると、「パフォーマンス改善のためキャッシュサーバーの切り替えを行って以降、一部のお客さまの情報について、他者から閲覧できる状態になっていたことがお客さまからの問い合わせで発覚」したという。

 他者が閲覧できる状態になっていた情報は、「住所、氏名、メールアドレス」という“直接的に個人を特定し得る可能性がある情報”のほか、銀行口座番号・クレジットカードの下4桁と有効期限、購入・出品履歴、ポイント・売上金、お知らせ、やることリストとしている。

 メルカリは、「ID・パスワードの漏洩、不正アクセス等により発生したものではなく、悪質な情報漏洩、データ改竄は確認されておりません」と発表しているが、具体的にユーザーにリスクはないのだろうか。セキュリティに詳しいITジャーナリストの三上洋氏に話を聞いた。

--ユーザーに起こり得るリスクには、どのようなものが考えられるでしょうか。

三上洋氏(以下、三上) 今回の件は、偶然に誰かの情報が見られるようになっていただけなので、悪用される危険性は低いでしょう。ただし、出品履歴や売り上げが見られた場合、趣味嗜好、収入など、個人のプライバシーに踏み込む部分まで知られてしまいます。偶然に悪意のある人が見た場合、ネットでさらされるなどの危険性があります。

--金銭的被害が発生する可能性についてはどうでしょうか。

三上 金銭的被害はないでしょう。流出したクレジットカード情報は下4桁ですし、銀行口座番号だけでは被害は出ません。

--メルカリが取った対応については、どのようにお考えでしょうか。

三上 事故後の対応は、適切なものだったと考えています。即座に公開したこと、技術者が詳しい原因を公表したことは、高く評価できます。

 流出などのトラブルが起きたとき、企業は得てして隠しがちですが、技術面を詳しく公開したのは好感が持て、会社の体制も評価できます。メルカリは優秀なエンジニアを雇っていることで有名な会社でもあります。

 しかし、逆にそんな体制のしっかりした会社であっても、今回のような設定ミスを犯してしまうことに根本的な問題があります。つまり、どんな運営会社であっても、IT化が進んだ現在では、情報流出や漏洩が起きる可能性があるといえます。

 実際に、今回の技術ブログを見た専門家の一部は、「起きても仕方がないこと、自分でもやってしまいそうなことだ」と述べています。

 情報流出や漏洩をゼロにするのは不可能ということが、今回の件で明らかになったといえます。残念ながら、私たちユーザーはこのような情報流出や漏洩を防ぐ手段がないのです。

 それだけに、ユーザーの情報を待つ企業は、よりいっそう情報の安全対策に投資をすべきです。

--ありがとうございました。

 今回の情報流出は、メルカリの技術的問題というよりは、インターネットサービス全般の情報漏洩リスクをあらためて浮き彫りにしたといえるのかもしれない。
(構成=編集部)