合同会社アマゾンジャパンが運営する総合インターネット通販サイト「Amazon.co.jp」で9月26~28日の間、一部のユーザーの注文履歴が他人から閲覧可能になるトラブルが発生していた。現在まで同社からこのトラブルに関する詳細な説明は公表されていない。ネット上では、「不誠実な対応」「アマゾンにはがっかりした」などアマゾンジャパンの姿勢を疑問視する声が上がっている。
履歴流出「社会的に死ねる」
9月26日夜、Twitter上では次のようなユーザーの悲鳴があふれていた。
「俺のエロゲ購入履歴が誰かに見られるわけかやってくれるなAmazon」(原文ママ、以下同)
「個人情報だだ漏れでも注文履歴すら停止せず調査中呑気すぎませんかね」
「もう二度とアマゾン使わん。注文履歴だけならまだしも住所、氏名、電話番号まで流出とかありえへんやろ」
「社会的に死ねる」
今回のトラブルでは、「ユーザーとは別の利用者の注文履歴、住所、名前が表示される」「履歴にある他者のクレジットカード番号の下4桁が表示される」(サイト上ではすべての番号が表示されない仕様になっている)の2点が複数のユーザーページで起こっていたという。他人から見える状態になっているかどうかは自分自身では確認できないため、不安にかられた一部のユーザーは登録者情報を削除するなど対応に追われた。
どれほどの人数の個人情報が流出したのか。そもそも今回のトラブルの原因はなんだったのか。ネット上で指摘されている通り、注文履歴の運用を一時全面停止したり、サイト上でトラブルの発生をアナウンスしたりして全ユーザーに注意を促すべきではなかったのか。
「プライバシーを大変重要に考えています」
当サイトでも27日、アマゾンジャパン広報に事実関係や対応に関して問い合わせていたが、回答は以下の通りだった。
「Amazonは、お客様のセキュリティとプライバシーを大変重要に考えています。本件については認識しており、現在調査を進めております」(27日午後3時13分)
「Amazonは、お客様のセキュリティとプライバシーを大変重要に考えています。本事象は解決し、お問い合わせいただいたお客様にはご連絡をしています」(28日午前9時32分)
トラブルは「技術的な原因によるもの」という一部報道もあったが、そもそも技術的原因とはなんなのだろう。また、どれほどの個人情報が流出したのかをユーザーに説明する責任はないのだろうか。
一向に説明責任を果たす姿勢が感じられない同社に対し、今もTwitter上には「アマゾンプライムに加入しようと迷っていたが、アマゾンはあまり誠実に対応してくれないと聞いて再検討します」「楽天よりも返品交換がしやすく対応も良いイメージだったのに残念。今、問題が解決されているで突っぱねるのは流石に無理があるでしょ。不誠実の塊のような対応」など批判の声があふれている。
海外企業でも個人情報保護法は適用
被害実態が明らかになってないので一概には言えないが、今回の件に個人情報保護法は適用されないのか。同法を所管する国の個人情報保護委員会事務局の広報担当者に聞いたところ、次のような回答を得た。
「事実関係を当方では確認していないので、一般的な制度面の話になりますが、実際に個人情報が漏洩しているという事案に該当するのであれば、たとえそれが海外に根拠を置く事業者であっても法律の是正対象になります」
だが、今回のようにユーザー個々人では「被害にあったかどうかわからない」状況では国やアマゾンジャパンに被害を訴えるのは難しいのではないか。
ITジャーナリストの三上洋氏は次のように解説する。
「通常のECサイトの場合、トラブルが発生したら1報、2報と状況の推移に応じてユーザーに広報し、トラブルが解決したらまとめ報を出すのが通常です。今回の件は本来であれば、重大インシデントにあたる事案です。それぐらいの対応が行われてしかるべきなのに対応はありません。
流出したのは紛れもない個人情報です。個人情報保護法では、漏洩の重大事案として住所氏名などで識別できる個人に関する情報が含まれている場合を規定しています。今回はまさに、買い物履歴という個人の趣向がわかるような重大な個人情報が漏洩したことになります。
アマゾンが表立って対応をしないのは、日本が同社にとって人口比で世界の50分の1程度しか占めていない一地方だからでしょう。一地方のトラブルを本社が取り上げる意味を見出していないため、出先のアマゾンジャパンが何をもできないということです。これが米国内で発生したトラブルだったら、大事になっていたと思います。
一地方の出先機関であるアマゾンジャパンは本社の指示以外、何の判断もできず、何も発表できません。概して、アマゾンやグーグル、ツイッターなどのグローバルIT企業の本社は日本の状況を鑑みることはほとんどありません。各社のルール変更でアカウントの停止措置などが起こりましたが、そのたびに対応の不備が指摘されています。
今回の件でユーザーにできることは、まず国の機関に連絡することです。総務省や経済産業省など個人情報やECサイトを所管する国の機関に働きかけ、被害状況を調査したり、情報開示を求めたりすべきだと思います。アマゾン本社は各国の国内法には従います。特に裁判所の情報開示請求などには対応する可能性があります。
グローバルIT企業のサービスはこうしたトラブルが発生した際、まともに対応しないことが多々あります。日本には楽天やヤフー、ヨドバシドットコムなどほかの選択肢もあります。ECサイトはアマゾンだけではないので、日ごろからリスクヘッジを図るべきかもしれません。ネット上では必ず技術的なトラブルが起きます。その際の対応がしっかりできるサービスを選ぶ必要があると思います」
流失した個人情報は今後、詐欺など犯罪に二次利用される可能性がある。技術上のトラブルが解決しても、ユーザーが将来的に不利益を被る可能性は何も解消されない。少なくとも、アマゾンは全ユーザーに対してトラブルがあったことを最低限、公表する必要性があるはずだ。