大日本印刷から15万件のジャックスカード情報漏洩 56
ストーリー by yoosee
また派手な件数ですね 部門より
また派手な件数ですね 部門より
Anonymous Coward 曰く、
INTERNET Watchに「ジャックス、カード情報15万件流出~総額667万円の不正利用」という記事が掲載されている。ジャックスが大日本印刷(DNP)にダイレクトメール作成を委託する際に使用したクレジットカード会員の情報が流出したとのこと(ジャックスのお詫びとお知らせ、DNPからのお詫びとお知らせ)。 流出したカード情報は15万件。 該当する可能性のあるカードの利用者には、カード番号を変更した新カードが送られるようである。
2006年6月に(情報流出によると思われる)カードの不正使用が発覚し、2007年2月1日に被疑者逮捕。ジャックスおよびDNPから事件の発表があったのが2007年2月20日だ。流出した可能性があるのは次の3条件を全て満たすうちの一部と言うことだ。この件への対応の影響かどうか、
- ご入会が平成17年2月迄のお客様。
- ご生年月日が昭和10年6月25日~昭和50年2月27日のお客様。
- 平成17年2月時点で神奈川以北の地区にお住まいだったお客様。
北海道・青森県・岩手県・宮城県・秋田県・山形県・福島県・茨城県・栃木県・ 群馬県・埼玉県・千葉県・東京都・神奈川県ジャックス(JACCS)カードが11月よりセキュリティを強化し、ネット上での利用や店頭での買い物で使いにくくなったという話をしてきました。 ネット上での決済はほぼ全滅。amazon.co.jpやPlayStation.comなどでも使用が出来ず、その他複数社のサーバー代すらすべて拒否される状態でした。と訴えるblog(真琴社長の社長ブログ)も存在する。
なんでカード番号が含まれてるんでしょう? (スコア:5, すばらしい洞察)
ダイレクトメール作成を委託するだけならカード番号は必要ないと思うんですが・・・
Re:なんでカード番号が含まれてるんでしょう? (スコア:1, 興味深い)
問題はDM作るのに番号まで教えている点だと思う。そのことに関して何も説明ないよね。
信用取引を委託する会社が信用できないのは企業体質としてどうなのかな?
Re:なんでカード番号が含まれてるんでしょう? (スコア:3, すばらしい洞察)
よくないです。
補償は保険金から支払われるのでしょうけど、その保険金は
カード会員から徴収した会費から支払っています。
不祥事の責任を取って損害賠償するわけではないのです。
また、不正利用の金額が小さいと気づかないことがあります。
不審な引き落としに気づいても問い合わせないケースも多いでしょう。
根本的な話、カード会社が補償して問題を終了させてしまうせいで
肝心な盗んだ犯罪者は逃げ得になっていることを忘れてはいけません。
ジャックスとしてはきちんと刑事告発して犯人を追い詰めるまでしないと
いけないと思います。
Re:なんでカード番号が含まれてるんでしょう? (スコア:3, 参考になる)
>その後、7月18日にインターネット通販詐欺事件の容疑者3人が逮捕され、2007年2月1日には、カード情報を詐欺グループに売却した容疑で、大日本印刷の業務委託先の元社員が逮捕された。
とありますよん。
Re:保険金は保険会社が払います (スコア:1, 参考になる)
> カード会員から徴収した会費から支払っています。
保障は保険金でなされますが、保険金は保険会社が払います。
カード会員から徴収した会費から支払われるのは保険料。
#保険料の財源が会費からかどうかは謎。
#金利収入のような気がする。
#IR情報(PDF) [jaccs.co.jp]を見てみたけど、総合斡旋がカードで個品斡旋がいわゆるローンだって事ぐらいしかわからなかった。
Re:保険金は保険会社が払います (スコア:1)
買物の保険は下りるけど、キャッシングの保険は厳しかったです(過去形)。
買物はカードを手にしただけでできるけど(店はサインなんて禄に見ない)、
キャッシングは暗証番号もないとできないからだそうです。
盗難カードの訴訟は、カード会社 vs 使用者 になりそうですが、
保険会社 が 使用者 に 損害賠償請求 した裁判があります。
保険会社は、不正キャッシング分をカード会社へ補填したが、
カード使用者の重大な過失だからその分を返せと請求したのです。
規約や安易な暗証番号を設定した等の理由で使用者が敗訴しました。
不正キャッシングで使用者が勝つのはとても難しいことだったのです。
銀行の払出し過誤が社会問題になって、今は法律が変わりました。
盗まれたことに直ぐ気付かなかったり、暗証番号が誕生日等安易な数字でも、
使用者の重大な過失とは見なされなくなったため、
そのような事例の場合、銀行やカード会社が保証しなくてはなりません。
最近は、写真付の身元確認や、安易な暗証番号を受け付けない傾向です。
# 法律の専門家じゃないので勘違いしているかも知れません。
# 間違いに気付かれましたら、指摘してください。
Re:保険金は保険会社が払います (スコア:0)
もしくはジャックスの業務委託先に対する指導の怠りが重過失と認定されれば、やっぱり
会費(やその金利収入)から出さざる得なくなる。
結局、普通の会員には大迷惑な話よね。
Re:なんでカード番号が含まれてるんでしょう? (スコア:0)
告発は事件に直接関係ない者が行うものなので。
Re:なんでカード番号が含まれてるんでしょう? (スコア:1)
ダイレクトメールの生き死に/発送・未発送管理を考えると何かしらユニークなIDが必要と思われますので。
#DNPと仕事したけどそれなりにしっかりしてる気がしたんだが
#それはともかく家賃の支払いがジャックスなんだが、関係ないとは言え変えられないモンかね・・・>エイブルさん
____
#風邪をひきました、脳が故障しています
#残念ながら仕様です。
Re:なんでカード番号が含まれてるんでしょう? (スコア:3, 参考になる)
ダイレクトメール送るのにカード番号いらないのに、そのままデータ渡してたとかそんなオチかなぁ
Re:なんでカード番号が含まれてるんでしょう? (スコア:0)
2006年の何月の明細ですか?タレコミによると事の発覚は2006年6月なので、それ以後に「お客様番号」システムに変更した疑いが…。
Re:なんでカード番号が含まれてるんでしょう? (スコア:1)
微妙なところですね。
システムの変更をしてる時間があったかどうか。
Re:なんでカード番号が含まれてるんでしょう? (スコア:2, すばらしい洞察)
番号変えてカードを再発行できるのに?
Re:カード番号しかユニークIDが無いとしたら (スコア:1)
#カード番号を外部出しする事に無頓着だったのだな。
#名寄せ [wikipedia.org]の考慮がされていないデータ構造なのかな?
羊の皮を被った山羊
Re:なんでカード番号が含まれてるんでしょう? (スコア:0)
つか、テレマだろうがDMだろうが、カード番号なんて必要ないのに外部に出しているようなカード会社なら、調べれば他にも問題起こしている可能性大ですね。
Re:なんでカード番号が含まれてるんでしょう? (スコア:0)
(コナミスポーツのジャックス提携カードは朗詠していませんでしたが、DM業者からもれるなんて最悪なので)
ほかにも同じような人がいたか聞いてみましたが、いなかったみたい。。
ていうか銀行振り込みできるのなら最初から教えてくれ。
カードしか無理ですとか言ってたくせに。
Re:なんでカード番号が含まれてるんでしょう? (スコア:0)
#DCに漏らされたクチなのでAC
DMの種類によるのでは (スコア:0)
カードには番号も使用期限も書かないわけにはいかないし、利用明細も最近は書かなくなったけど以前はカード番号全桁書いていたし。
Re:DMの種類によるのでは (スコア:3, すばらしい洞察)
カード作成・明細送付時に必要だとしても、DM時に必要な理由は何もないんだから。
本来渡してはいけないデータを業務上渡しているんだからさ。
#そろそろ個人情報保護法違反で企業から逮捕者でるべきだと思う。
#犯罪者そのものでなく、"管理監督がきちんとしてなかったって事で。
#なんか、いくら流出してもお咎めなしだから同でもいいっておもってないか?
#JACCSとか禿げの会社とか。
Re:DMの種類によるのでは (スコア:0)
Re:DMの種類によるのでは (スコア:2, 興味深い)
元コメントは「監督不行き届きな法人に対し、そろそろ保護法の罰則を本格的に発動しては」ということだよね。
個人情報の保護に関する法律 [cao.go.jp] 第六章(罰則)にある「懲役」「罰金」は個人情報取扱事業者に課されるわけだが、法人であっても最悪の場合経営者が懲役になるよ。
実際にはその前に監督官庁の指導があって是正措置をとるだろうから、情報事故即逮捕、にはならないけど。
行政指導に対し「アドバイスをいただいた」とか抜かすトップのいる会社はいつか本当に発動されるかもな。
旧TSUTAYAカード (スコア:1)
JACCSからJCBに変わった時、TSUTAYAとJACCSからそれぞれ新しいカードが送られてきました。
解約するのもめんどくさくて、そのままJACCSカードも保持してたので、今回の条件に当てはまってしまった。
これを気に解約しようかとも思ったが、実害があった訳じゃ無いし、既に流出したものはいまさら変わらない、何より解約手続きめんどくさいのでまた放置しそう。
Re:旧TSUTAYAカード (スコア:0)
#その後でカード返送用の封筒が来て、そこに切り取ったクレカを入れる必要があるとしても。
とはいえ、今まで解約したクレジットカードは有料になった高島屋カードだけだな。
悲劇は繰り返される (スコア:1)
で、その発送を委託した先から新番号がまた漏れる...
保険などのDM (スコア:1, 興味深い)
DMが届きます。
開けると、保険の申込み書には個人情報があらかじめ
記載された状態になっており、記入する手間が省かれて
いるほか、生年月日によってオススメの契約や、
シミュレーションまで書かれています。
おそらく、こういう個人情報をまるごと印刷会社に渡して
申込書に記載したDMを作成させるケースは多いんでしょう。
クレジットカードの契約で、個人情報の取り扱いは
どうなっていたか、覚えていないですが…。
Re:保険などのDM (スコア:0)
DMだけではありません。
電話料金の請求書なども同じ。
で、印刷会社の側では情報流出にはかなり気を遣っているようです。
従業員の作業服にはポケットがついていないし、入室するためにはIDカードと暗証番号が必要。
さらに直接情報に触れるエリアは入室できる人間を絞り込んでいるとかなんとか。
でも漏れちゃったんだよね…
Who's JACCS CARD? (スコア:1)
フーーーーズジャックスカー?
と呼びかける警備員の図が頭に浮かんでしまった。
「ジャックスカードは誰?」 (スコア:0)
Re:「ジャックスカードは誰?」 (スコア:2, 参考になる)
・空港かホテルのロビーで警備員がジャックスカードを拾う。
・警備員、カードを掲げて「Who's JACCS CARD?」と大声で呼びかける。
・ロビーの人々がみんな、自分が落としたのではと探し始める
(→みんなジャックスカードを持っています!)
というのが、あったのです。
# 自分でネタを説明するみじめさったら無いな。
Re:「ジャックスカードは誰?」 (スコア:0)
クレジットカード情報15万件よりも、 (スコア:1)
# 覚えていない人は、2004年1月20日頃のニュースを掘り起こすべし。
また委託社員か (スコア:1, すばらしい洞察)
個人情報を扱う職種は自社の正社員に限定してもらいたい。
それが企業の責任というものではなかろうか。
どこの社長だ? (スコア:0)
別の観点 (スコア:0)
> 2. ご生年月日が昭和10年6月25日~昭和50年2月27日のお客様。
> 3. 平成17年2月時点で神奈川以北の地区にお住まいだったお客様。
> 北海道・青森県・岩手県・宮城県・秋田県・山形県・福島県・茨城県・栃木県・群馬県・埼玉県・千葉県・東京都・神奈川県
山梨県は神奈川以北じゃないのかとか、被害を申告したらもっと情報が漏れるんじゃないかとか、なぜ昭和10年6月25日なんて特定の日付なのかとか…
Re:別の観点 (スコア:1)
山梨・新潟・長野の共通点を考えれば、どうしてなのか明白ですね。
Re:別の観点 (スコア:2, すばらしい洞察)
Re:別の観点 (スコア:1)
曖昧に書いた私も悪いけど、そんなに深読みされると思わなかった。
日本の都道府県を並べる時、地域で分けるって話ですよ。
山梨・新潟・長野は、北陸。
実際の地理的位置での北南ではなく、そういった事情で並べられている。
JISコードもそう、地理的な位置ではなく、北陸は関東の後に並べられている。
Re:別の観点 (オフトピック) (スコア:1)
南関東・甲信越・首都圏・中部・東海などは
いずれも山梨県の分類の際に使われており、
まさに微妙な位置づけであることを証明していますが、
「北陸」という分類は初見です。
(八ヶ岳や南アルプスは北陸って気もしなくもないですが、
富士山や青木ヶ原樹海が北陸と言われると不自然な気が・・・)
これ以上分類が増えると覚えるのが大変なので
ぜひ統一していただけるとありがたいです。
cf. 甲信地方@Wikipedia [wikipedia.org] & 甲信越地方@Wikipedia [wikipedia.org]
Re:別の観点 (オフトピック) (スコア:1)
Re:別の観点 (オフトピック) (スコア:0)
Re:別の観点 (オフトピック) (スコア:0)
読売新聞 [yomiuri.co.jp]も同様の認識のようです。
新潟は入れてもそんなに違和感がありませんが、山梨はさすがに入らないでしょう。
Re:別の観点 (スコア:0)
>食いものがうまい
しかコメントついてないのだが。
Re:別の観点 (スコア:1, おもしろおかしい)
食いものがうまい。
Re:別の観点 (スコア:0)
フォッサマグナが悪さしてるんだな、きっと。
たかだか (スコア:0)
セキュリティ対策なんて不要なのかもw
Re:たかだか (スコア:0)
損失は目に見えている667万円だけじゃないぞ。
失った信用:Priceless
#会社が違う。
罪状は何だったんでしょう? (スコア:0)
> 業務委託先の元社員が逮捕され、データを押収したとの連絡を受けるに至りました。
とジャックスカードの発表にあります。
個人情報は「財物」にあたらないため窃盗罪が成立しないという法解釈だったかと思うのですが、
最近はこの辺りの解釈も変わってきているのでしょうか?
媒体の窃盗じゃ? (スコア:1)
元記事にも「カード情報を不正に記憶媒体に書き出し、外部に持ち出していたと見られている。」とあります。
Re:罪状は何だったんでしょう? (スコア:1)
って事で、不正競争防止法違反なんじゃないでしょうか?
まずその前に (スコア:0)