本人同一性とは何か、楽天カードで勝手に住所情報が変えられた件で改めて考えてみた

Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+

【これは約 3 分の記事です】

Twitterで、楽天カードの情報が勝手に書き換えられていた、という情報を見ました。なお、問題は、既に対応済み、とのことです。

例えばAという人物がBさんのカードの住所情報をAのものに変えたいときは、

  1. Aという人物が楽天IDを取得する。
  2. Aの楽天カード発行情報で、Bさんの名前、生年月日、電話番号、勤務先を入れる
  3. Aが楽天カード発行の申し込みをすると、Bさんの住所情報がAの住所情報に書き換えられる

楽天のプレスリリースでは見つかりませんでしたが、IT系のニュースサイトを見ると、この問題については既に対応済みだそうです。

「楽天カード」に他人が住所変更できる問題 既に対策済み
http://www.itmedia.co.jp/news/articles/1710/11/news126.html

で、何故こんなことが起きるか、です。

本人同一性を確認する手段として、ID情報を使っていないようです。どうやら「名前、生年月日、電話番号、勤務先」のいずれか、もしくはその組み合わせによって、本人かどうかを特定しているようで、それが原因と考えられます。

なんでIDを本人同一性の特定に使わないの?

という素朴な疑問がわきます。おそらく、カード会社がもっている与信データとの照らし合わせをするためだと思います。同一人物が別IDでカードを作っても、同じ与信データを参照する必要がある、そういうことではないかと思います。

通常、IDこそ、本人同一性に使われるべき要素です。

ID(IDentification)

「identification」は日本語に直すと「同一であることの証明」ですので。

ただ、一人の人間がIDを複数用意されると、同一性の連続が第三者からわからなくなります。それでそれ以外の要素で、本人にしか属さない属性を本人同一性に使っているのでしょう。

「名前、生年月日、電話番号、勤務先」で、特に名前と生年月日は個人本人の属性です。

が、これらの情報は秘密にできる情報ではありません。申告する情報として偽ることが出来るので、確認が完了する前に申請情報に基づいて住所変更できる仕様は問題あり、と言っていいでしょう。

---最後までご覧いただき、ありがとうございます---

[PR] 今までの実績等を御覧ください。
弊社は情報セキュリティ教育・研修・コンサル業務を行う会社です。

まるおかディジタル株式会社

Share on FacebookTweet about this on TwitterShare on LinkedInShare on Google+