北海道の老舗百貨店、丸井今井から新年早々、物騒な物が届きました。 実は前兆があったので「やっぱりか」という印象だったのですが、個人情報流出のお詫び文書です。
実は、丸井今井のウェブショッピングサイトには個人情報流出の危険性があり、2009年11月1日に丸井今井とIPAに連絡している。 その時の対応は、小手先だけの対応に終わり根本的な解決は行われなかったので、IPAを通して利用者への告知をするように進言させていただいたが、放置されたのが実態。 従って、当方が把握していた個人情報漏洩の可能性があるユーザーは、そのまま放置されることになった。
利用者保護のため、一応、幾つかのマスコミにも連絡させていただいたが、梨の礫。 そう言った意味で、今回の個人情報漏洩に関してはマスコミも放置した罪は大きい。 いざ、情報漏洩したら我も我もと飛びつくクセに、情報漏洩の危険性はスルーする。 マスコミの残念な姿が露呈された形になった。
さて、疑問な点だが...
- 検索サイト経由でセッションハイジャックされたように受け取れるが、それで正解なのか?
- 何故、指摘された1件しか確認できないのか?
- クレジットカード情報は含まれていないとされているが本当なのか?
- 自分が指摘したときにはクレジットカード情報も閲覧可能になっていた。
- なぜ、前回は放置したのに今回は対応したのか?
- 12月13日に発覚しているのに、連絡が年を明けたのは何故なのか?
- 前回指摘した問題点は、完全に対応されたのか?
- 丸井今井社内には自分のブログへのリンクが広まっていたのに、何故連絡がないのか?
疑問はまだまだ多いが、これらを質問状として纏めて送付してみることにする。 特に、検索サイト経由のセッションハイジャックが本当だとすると、かなり多くのサイトで発生しそうな気がするから、詳細に知りたいところだ。 回答が来たら、改めてここに明らかにしたい。