「楽天」が抱えている10個の問題点まとめ

【注意】この記事は一連の以下の記事の続き、つまり3本目になりますので、以下の2つの記事を未読の方はまず2本ともきっちり読んでから、この3本目の記事を読んでください。

・1本目
楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める - GIGAZINE

・2本目
楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明 - GIGAZINE

～この3本目の記事のもくじ～
■問題点その1「楽天市場でしか使っていないメールアドレスに実名入りのスパムメールが届く」

■問題点その2「楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せないと発表していた」

■問題点その3「楽天市場の店舗は注文確認メールに書かれている顧客のメールアドレスを見ることができる」

■問題点その4「楽天市場の店舗はお客様情報を検索した画面から顧客のメールアドレスを見ることができる」

■問題点その5「楽天市場の店舗は審査に通ればCSVデータダウンロードサービスを利用して顧客のメールアドレスを見ることができる」

■問題点その6「CSVデータダウンロードサービスは有料だが、その説明を顧客は受けていない」

■問題点その7「各店舗が個人情報保護法を守ることを楽天は保証せず、メールアドレスが各店舗から流出する可能性を放置している」

■問題点その8「楽天市場の店舗の一部に顧客のクレジットカード番号が渡っている」

■問題点その9「楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せないと発表していたが、実際にはそうではなく、矛盾している」

■問題点その10「これらの事実のどこが『全くの事実誤認』なのかを説明していない」

詳細は以下から。
■問題点その1「楽天市場でしか使っていないメールアドレスに実名入りのスパムメールが届く」

この件については1本目の記事「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」に詳細に書いてありますので、一度上から下まできっちり読んでもらうしかありません。

上記記事中で実際にGIGAZINE読者に対して「楽天市場でしか使っていないメールアドレスに実名入りのスパムメールが届く」経験をしている場合、情報提供してもらうようにお願いした結果、かなり多くの実例を集めることに成功しました。情報提供していただいた方々一人一人にお礼メールをするのが本来の対応ではありますが、あまりにも多いため、この場でお礼を申し上げます。

情報提供していただいた際、利用した店舗名も記載してもらったため、スパム業者にメールアドレスのリストを流出させる流出元となっているショップが特定できるのではないか、と思ったのですが完全に絞り込むところにまではまだ至っていません。ただ、「この店舗しか使っていないので99.9％この店舗だ」というケースもあることがわかっていますので、情報流出元を特定できるかもしれません。

話を元に戻すと、この1本目の記事を書いている最中にある疑問がわき起こり、2本目の記事へとつながります。

「楽天市場では店舗側に対して注文客のメールアドレスはわからない仕組みになっているはずだが、なぜ店舗側は注文客のメールアドレスを知っているのだろうか？」

■問題点その2「楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せないと発表していた」

2005年7月に「楽天市場の店舗での取引に係る個人情報の流出」事件が起き、それを受けて楽天は以下のような対策を発表します。

・2005年8月1日
「カード番号、メールアドレスは店舗に出さない」、楽天が対策 - ニュース - nikkei BPnet

この記事中では「また、9月をメドに加盟店にはユーザーのメールアドレスを秘匿できるようにするシステムも導入する。これらのシステム的な対策によって、加盟店には顧客のメールアドレスもカード番号も渡らなくなり、加盟店経由での情報漏洩を防ぐ」とあります。

確かに楽天も公式サイトで以下のように発表しています。

・2005年8月1日
楽天市場の店舗での取引に係る個人情報の流出について【今後の対応策】

この発表の中で楽天は代表取締役会長兼社長である「三木谷 浩史」氏をセキュリティ本部長とし、「これにより、今後楽天でのお取り引きにつきましては、個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります」と明記しています。三木谷社長が自ら対策の陣頭指揮をとるとしているところからも、その本気具合がうかがえます。

対策を行うという内容は別のページでも明記されています。

・2005年8月1日
～安全・安心な楽天市場の創造に向けて～

このページの中でも「これにより、今後楽天でのお取り引きにつきましては、個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります」と書かれています。

また、「個人情報の流出の可能性を出来る限り低減させるために「商品の配送」に必要のない個人情報（メールアドレスおよびクレジットカード番号）を各店舗に提供しないサービスに切り換えます」と書かれています。

ここまでの情報を見ている限り、楽天市場を利用している店舗側にメールアドレスもクレジットカード番号も渡るわけがないのです。だらこそ楽天市場を安心して利用できるはずなのです。

しかし、これらはすべて2005年8月の話です。nikkei BPnetの報道によると「9月をメドに加盟店にはユーザーのメールアドレスを秘匿できるようにするシステムも導入する」となっていますし、楽天も公式サイトにて「個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります」と書いています。

この時点で決まっていることを並べると以下のようになります。

・店舗側に対して楽天ユーザーのメールアドレスを非表示にする
・店舗側に対して楽天ユーザーのクレジットカード番号を非表示にする
・2005年9月をメドにして行う

つまり、2005年9月をメドにして、メールアドレスとクレジットカード番号の2種類について非表示になる、ということだったはずなのです。

ここで再度、1本目の記事「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」からこの調査は出発したことを思い出してください。まずは「クレジットカード番号」と「メールアドレス」というようにして2つある問題のうち、まずは「メールアドレス」の問題を追っかけていくことにします。「クレジットカード番号」の問題はさらに後ほど触れることにします。

実際にどのようにしてメールアドレスを非表示にしたのかについて、＠ITが以下の記事で報じています。

・2005/8/2
＠IT：【特報】楽天・三木谷社長がカード流出対策発表、店舗の理解は得られるか

この記事中では「店舗がピーアールのメールマガジンを顧客に出す場合に、顧客の電子メールアドレスを見えなくする新システム「メールフォーワーディング機能」も9月1日に導入する計画だ」とあります。つまり、メールマガジン送信時にはメールアドレスは非表示になった、というわけです。

この非表示処理はメールマガジン送信時だけでなく、店舗側に注文してきた楽天ユーザーの顧客情報を管理する画面でも非表示になりました。

しかし、この対策は不完全であり、抜け道が3つ残されました。楽天市場の店舗側は、自分の店舗に注文してきた顧客のメールアドレスを見る方法がまだあるわけです。

・方法その1：注文確認メールに書かれている顧客のメールアドレスを見る
・方法その2：お客様情報を検索した画面からメールアドレスを見る
・方法その3：「CSVデータダウンロードサービス」を利用して顧客のメールアドレスを見る

このそれぞれについてはGIGAZINEの2本目の記事でも書いています。

■問題点その3「楽天市場の店舗は注文確認メールに書かれている顧客のメールアドレスを見ることができる」

顧客宛に自動送信される注文確認メールが店舗にも同報送信されており、以下のようになっています。

送信者：楽天市場
宛先：顧客のメールアドレス
CC：店舗のメールアドレス

これが実際に楽天市場で注文した際の実例です。楽天市場を利用してネットショッピングをしたことがある方であれば、件名が「【楽天市場】注文内容ご確認(自動配信メール)」というメールを見ることですぐに確認することができます。

このメールは見てわかるとおり、店舗側にもCCによって送信されるため、楽天市場の店舗は自店舗で注文した顧客のメールアドレスを見ることができます。

nikkei BPnetの報道によると「9月をメドに加盟店にはユーザーのメールアドレスを秘匿できるようにするシステムも導入する」となっており、楽天も公式サイトにて「個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります」と書いていますが、実際には自店舗で注文した顧客のメールアドレスを見ることができるというわけです。

楽天は「メールアドレスが店舗側では見られなくなります」と書いておきながら、実際には今もなお、メールアドレスを店舗側で見られるようにしていたというのは問題ではないでしょうか？

■問題点その4「楽天市場の店舗はお客様情報を検索した画面から顧客のメールアドレスを見ることができる」

通常出荷処理をする時の注文情報のページではメールアドレスやクレジットカード情報は伏せられています。

これは楽天市場に出店している店舗の管理者の方から提供していただいた実際のスクリーンショットです。メールアドレスは伏せられており、見ることができません。クレジットカード情報も伏せられており、見ることができません。

しかし、普通にお客様情報を検索した画面ではメールアドレスが見えています。

繰り返しになりますが、nikkei BPnetによると「9月をメドに加盟店にはユーザーのメールアドレスを秘匿できるようにするシステムも導入する」となっており、楽天も公式サイトにて「個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります」と書いていますが、実際には自店舗で注文した顧客のメールアドレスを見ることができるというわけです。

楽天は「メールアドレスが店舗側では見られなくなります」と書いておきながら、実際には今もなお、メールアドレスを店舗側で見られるようにしていたというのは問題ではないでしょうか？

■問題点その5「楽天市場の店舗は審査に通ればCSVデータダウンロードサービスを利用して顧客のメールアドレスを見ることができる」

この件についての詳細は2本目の記事に詳しく書いてあり、簡潔にまとめると以下の2点になります。

・CSVデータダウンロードサービスではメールアドレスは非表示
・ただし、楽天の審査を経た上で基準を満たしている店舗の場合はメールアドレスが表示される

このことはINTERNET Watchもこの記事の中で「また、楽天が審査をした上で利用者のメールアドレスを提供していること関しては、「個人情報保護方針に沿ったかたちで、正当な理由と判断された場合は提供することもある」とコメント。ただし、楽天が認める「正当な理由」については、機密なので明かせないという」というようにして楽天のコメントを報じています。

つまり、楽天は公式サイトにて「個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります」と書いていますが、実際には自店舗で注文した顧客のメールアドレスを見ることはできる、というわけです。「審査を通った店舗のみ」としていますが、詳細な審査基準は不明ですし、楽天市場のどの店舗が審査に通っているのかは発表されていません。

また、このCSVデータダウンロードサービスは「実際に自店舗に注文した顧客」だけが対象ではなく、自店舗で行った行動のうち、全部で以下の6つが対象になっています。

・通常購入データ
・共同購入データ
・オークションデータ（落札者のみ）
・プレゼントデータ（当選者のみ）
・資料請求データ
・商品問い合わせデータ

審査を通った店舗であればCSVデータダウンロードサービスを使うことによって、これら6つのデータから顧客のメールアドレスを見ることができる、というわけです。

■問題点その6「CSVデータダウンロードサービスは有料だが、その説明を顧客は受けていない」

「楽天市場の店舗は注文確認メールに書かれている顧客のメールアドレスを見ることができる」と「楽天市場の店舗はお客様情報を検索した画面から顧客のメールアドレスを見ることができる」の2つについては、これらの方法を店舗が実行するに当たって追加料金は発生せず、無料で実行可能です。

しかし、CSVデータダウンロードサービスを利用するには料金が発生します。

基本利用料（月額）：100件まで1000円
100件を超える場合：1件につき10円

ここで今度は「個人情報保護法」のことを考えてみます。内閣府の国民生活政策ホームページに「個人情報保護法に関するよくある疑問と回答」というのがあり、ここを見てみることにします。

まず、このCSVデータダウンロードサービスに含まれるメールアドレスは「個人の氏名等を含んだリストがあり、その１項目としてメールアドレスが含まれている場合、リストは全体として、また、メールアドレスはその一部として、個人情報に該当します」とあるので、メールアドレスは個人情報だということがわかります。

次に、個人情報であるメールアドレスを含むCSVデータをダウンロード提供するこの有料サービスについて、楽天市場の店舗を利用した顧客が知っていたかどうかが重要になります。

個人情報保護法によると、個人情報取扱事業者は個人情報の利用目的を「できる限り特定する」こととされています。具体的にどの程度まで特定する必要があるかというと、「利用目的を「できる限り特定する」とは、個人情報取扱事業者が、個人情報をどのような目的で利用するかについて明確な認識をもつことができ、個人情報の本人にとっても、自己の個人情報がどのように取り扱われるか予測することができる程度という趣旨です」と書かれており、さらに続けて「このため、特定される利用目的は、できる限り具体的で本人にとって分かりやすいものであることが望ましく、例えば、「顧客サービスの向上のため」というような包括的な利用目的は、利用目的を明確にしたものとはいえないと解されます」とあります。

つまり、個人情報であるメールアドレスの利用目的をできる限り具体的で本人にとって分かりやすく示さなくてはならないというわけです。

2005年4月1日に制定・施行された楽天の「個人情報保護方針」の「5. 個人情報等の取り扱いについて」には以下のように書かれています。

当グループは、お客様がサービス提供者に対し商品または役務の予約・入札・購入、プレゼントなどの応募、その他の取引を申し込まれた場合、その取引に必要な範囲で、お客様の個人データをサービス提供者に提供します。このように提供された個人データにつきましては、サービス提供者において管理されることとなります。サービス提供者は、その取引を遂行することに加え、取引後のお客様向けメールマガジンなどによる情報提供、お客様による購買の分析をして、サービス提供者の事業運営の改善をするために、個人データ（お客様が指定された他の方の宛先情報を除く）を利用します。当グループは、サービス提供者に対し、個人情報保護法を遵守し、お客様のプライバシーに配慮した個人情報の取り扱いをすることを規約などで義務づけております。しかしながら、サービス提供者がこれを遵守することを保証するものではありません。詳細につきましては、サービス提供者にお問い合わせください。

「お客様がサービス提供者に対し商品または役務の予約・入札・購入、プレゼントなどの応募、その他の取引を申し込まれた場合、その取引に必要な範囲で、お客様の個人データをサービス提供者に提供します」というのが「CSVデータダウンロードサービス」だということが今までの経緯を見ればわかりますが、このGIGAZINEの記事を読まずに、楽天の「個人情報保護方針」のページだけで、できる限り具体的で本人にとって分かりやすく示されていると言えるのでしょうか？

さらに、個人情報であるメールアドレスを含む個人情報データのリストを提供するサービスを有料で行うという具体的事実が楽天の「個人情報保護方針」のページだけでわかるでしょうか？

いずれも、GIGAZINEの「2本目の記事」と今まさにあなたが読んでいるこの記事を読んだからこそわかることなのであって、2本目の記事とこの3本目の記事を読んでいないし、知りもしない一般の楽天利用者が「個人情報保護方針」のページを読んで、これらの利用目的を知ることができるでしょうか？

「例えば、「顧客サービスの向上のため」というような包括的な利用目的は、利用目的を明確にしたものとはいえないと解されます」と内閣府は例示しており、楽天の説明は不十分ではないでしょうか？

GIGAZINEの「2本目の記事」がネット上に出てくるまで、以下の情報は楽天の関係者および楽天の出店者の一部しか知らない個人情報の利用方法だったはずです。

基本利用料（月額）：100件まで1000円
100件を超える場合：1件につき10円

CSVデータダウンロードサービスは有料ですが、その説明を顧客はまったく受けていないため、個人情報保護法に基づいて考えると、問題ではないでしょうか？
■問題点その7「各店舗が個人情報保護法を守ることを楽天は保証せず、メールアドレスが各店舗から流出する可能性を放置している」

さて、2005年4月1日に制定・施行された楽天の「個人情報保護方針」の「5. 個人情報等の取り扱いについて」をもう一度見てみます。

当グループは、お客様がサービス提供者に対し商品または役務の予約・入札・購入、プレゼントなどの応募、その他の取引を申し込まれた場合、その取引に必要な範囲で、お客様の個人データをサービス提供者に提供します。このように提供された個人データにつきましては、サービス提供者において管理されることとなります。サービス提供者は、その取引を遂行することに加え、取引後のお客様向けメールマガジンなどによる情報提供、お客様による購買の分析をして、サービス提供者の事業運営の改善をするために、個人データ（お客様が指定された他の方の宛先情報を除く）を利用します。当グループは、サービス提供者に対し、個人情報保護法を遵守し、お客様のプライバシーに配慮した個人情報の取り扱いをすることを規約などで義務づけております。しかしながら、サービス提供者がこれを遵守することを保証するものではありません。詳細につきましては、サービス提供者にお問い合わせください。

わかりにくいので整理してみましょう。かなり広範囲に個人情報が共有されていることがわかります。

・「当グループ」とは以下の16の会社のこと
1. 楽天株式会社
2. 楽天エンタープライズ株式会社
3. シグニチャージャパン株式会社
4. ターゲット株式会社
5. 株式会社ショウタイム
6. みんなの就職株式会社
7. 楽天トラベル株式会社
8. 株式会社楽天野球団
9. 株式会社ファインワイン
10. 株式会社サイドビー・ネットワーク
11. 株式会社楽天スポーツプロパティーズ
12. 楽天バスサービス株式会社
13. 楽天オークション株式会社
14. 競馬モール株式会社
15. 楽天・ファスト・モバイルサーチ株式会社
16. 楽天写真館株式会社

・「サービス提供者」とは楽天市場に出店している各店舗のこと
具体的には「ショップ、オークションの出品者、宿泊施設またはその代理店、提携ゴルフ場など、取引の対象となる商品または役務を提供する者をいいます」としています。また、ショップとは楽天市場に出店している各店舗のことです。

これら2点を踏まえた上で、「個人情報保護方針」の「5. 個人情報等の取り扱いについて」では以下のようになっているわけです。

・個人情報は楽天市場に出店している各店舗に提供される

さらに楽天は「しかしながら、サービス提供者がこれを遵守することを保証するものではありません」と書いているため、以下のようなことになります。

・各店舗が個人情報保護法を守ることを楽天は保証しない

つまり、メールアドレスが各店舗に渡っても、各店舗がそのメールアドレスを適切に利用するかどうかまでは責任はとれない、というわけです。理屈としては正しいですし、この方針自体は個人情報保護法に違反していません。しかし、問題はあります。

7つ目の問題を明らかにするため、問題点「その2」から「その6」までを再度並べてみると、以下のようになります。

「楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せないと発表していた」

「楽天市場の店舗は注文確認メールに書かれている顧客のメールアドレスを見ることができる」

「楽天市場の店舗はお客様情報を検索した画面から顧客のメールアドレスを見ることができる」

「楽天市場の店舗は審査に通ればCSVデータダウンロードサービスを利用して顧客のメールアドレスを見ることができる」

「CSVデータダウンロードサービスは有料だが、その説明を顧客は受けていない」

要するに、メールアドレスが店舗側で見られなくなると楽天は書いておきながら、実際には店舗側はメールアドレスを見ることができるようになっており、しかも楽天自身も店舗側がメールアドレスを見ることができる仕組みを有料で提供しており、さらにはそのメールアドレスやメールアドレスのリストがどうなるかは保証できない、と言っているに等しいわけです。

ここで実際に被害に遭っている人が多発している一番最初の問題を見てみます。

「楽天市場でしか使っていないメールアドレスに実名入りのスパムメールが届く」

「各店舗が個人情報保護法を守ることを楽天は保証せず、メールアドレスが各店舗から流出する可能性を放置している」というのは問題であると言えるのではないでしょうか？

ここからはいよいよクレジットカード番号の問題を見てみましょう。

■問題点その8「楽天市場の店舗の一部に顧客のクレジットカード番号が渡っている」

楽天は公式サイトにて「個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります」と書いています。本当に、クレジットカード番号について楽天市場の店舗は見ることができないようになっているのでしょうか？

まず、RMSという楽天市場の店舗向けシステム内にある「R-Backoffice 受注管理」というものを見てみましょう。ここではちゃんとクレジットカード番号は非表示になっており、店舗側にクレジットカード情報は渡っていません。

次に、スラッシュドット・ジャパンにて行われた興味深い書き込みによると、楽天市場にある「Joshin Web rakuten店」では「当店は楽天株式会社より例外的にクレジットカード番号の開示を受け、独自に決済処理を行っております」とはっきり書いてあります。

実際に「Joshin Web rakuten店」に電話で質問してみたところ、「2009年5月29日現在、楽天株式会社よりクレジットカード番号の開示を受け、独自に決済処理を行っている」という趣旨の回答を得ることができました。

楽天は公式サイトにて2005年には「個人情報のうち、クレジットカード番号、メールアドレスが店舗側では見られなくなります」と書いていたにもかかわらず、2009年になった今もまだその仕組みを完全に実現することができていない、というわけです。

また、楽天は公式サイトにて2005年9月16日に「2006年の2月までを目処に当該店舗と協議を進めつつ、お客様が安心してご利用いただけるようなシステム開発を行い、全店舗クレジットカード情報の非表示化を実現するべく鋭意推進してまいります」と書いていますが、一体いつになったらこの「例外」はなくなるのでしょうか？「例外」ならば何をしても問題ないという判断なのでしょうか？これら一連の事実は「問題点」ではないのでしょうか？

■問題点その9「楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せないと発表していたが、実際にはそうではなく、矛盾している」

ここまで読めば明らかだとは思いますが、楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せないと発表していましたが、実際には見ることは可能です。

・店舗側は自店舗で注文した自顧客のメールアドレスを知っている
（でも本当は、楽天は店舗にメールアドレスを見せてはダメ）

・店舗側はお客様情報を検索した画面から自顧客のメールアドレスを見ることができる
（でも本当は、楽天は店舗にメールアドレスを見せてはダメ）

・楽天は各店舗の自顧客メールアドレスを含むリストを有料販売している
（他店舗のリストは買えないが、そもそも楽天はメールアドレスを店舗に見せてはダメ）

・メールアドレスを含んだ個人情報リストを各店舗がどのように使っても楽天は責任を取らない
（流出してスパムメールに使われていても責任は取らないのであれば、流出する可能性を放置してはいけないはず）

・自顧客のクレジットカード番号も例外的に一部店舗に渡している
（でも本当は、楽天は店舗にクレジットカード番号を渡してはダメ）

つまり、表向きに言っていることと、実際に裏でやっていることの差があまりにもありすぎで、矛盾しているわけです。

表向き：店舗側に自顧客のメールアドレス・クレジットカード番号は見せないと発表
裏側：自顧客のメールアドレス・クレジットカード番号を一部店舗には今もなお見せている

完全に矛盾しており、今の今までこれらの問題を放置しているというのは、根本的な楽天の問題ではないでしょうか？

■問題点その10「これらの事実のどこが『全くの事実誤認』なのかを説明していない」

直接GIGAZINEのことを名指ししているわけではないので、GIGAZINEのことなのかどうかはまったく不明ですが、楽天によるとこれらの事実はすべて「全くの事実誤認」だそうです。

2009年05月28日
【お知らせ】一部ブログによる掲載情報の事実誤認について

日頃より、楽天市場をご利用いただき誠にありがとうございます。

昨日5月27日、一部のブログが「楽天、利用者のメールアドレスを含む個人情報を1件10円でダウンロード販売」との情報を掲載しましたが、 全くの事実誤認でありますので、お知らせいたします。

当社は個人情報の取扱いに関して万全の管理体制を敷いておりますので、お客様におかれましては、今後とも安心してお買い物をお楽しみ下さい。

「全くの事実誤認である」という楽天側に立って考えると、それなりの言い訳はいくらでも予想できます。

言い訳その1：
「店舗側に顧客のメールアドレス・クレジットカード番号は見せないと書いたが、何年何月何日までに必ず実行すると約束したわけではない。いつ実行するかまでは一切断言していない。あくまでもメドと言っただけだ。だから、これから対策を行えば何も問題はない」

言い訳その2：
「店舗側へ無条件に顧客のメールアドレスを見せているわけではない。審査して通った店舗にだけ見せている。ただしその審査内容は企業秘密であり、教えられない」

言い訳その3：
「店舗側にクレジットカード番号は見せていない。例外的に渡っている場合があるだけで、基本的には店舗側に見せていないので何の問題もない」

言い訳その4：
「自顧客の個人情報を有料で提供することは個人情報保護法違反ではない。1件10円でダウンロード販売したと書いているが他店舗に販売したわけではなく、自店舗で注文した情報に限っている。あくまでもデータを加工してダウンロードという形態で提供しているだけであり、そのデータ加工代金、いわばシステム利用料を受け取っているだけに過ぎない。データがダウンロードできるからと言ってダウンロード販売とは言い切れない」

言い訳その5：
「楽天市場でしか使っていないメールアドレスにスパムメールが届いたと言われても、店舗が顧客のメールアドレスをどのように利用するかまでは楽天は責任を取れない。また、そのメールアドレスを本当に楽天市場でだけ利用したのかどうかは確認できない。もしかすると何かのスパイウェアやマルウェア、トロイの木馬、ウイルスなどにパソコンが感染しており、利用しているメールアドレスが悪用されたのかもしれない。ランダムに生成されたアドレスに送られているだけなのかもしれない。そもそもそのメールアドレスを提供しているメールアドレス提供業者から漏れている可能性も否定できない。各店舗はともかくとして、少なくとも楽天は個人情報の取扱いに関して万全の管理体制を敷いており、今後とも安心して利用できる。各店舗についてはちゃんと指導しているが、店舗がどのように個人情報を扱っているのかまではわからないので、責任は取れない」

実際に1本目の記事に対する反響として、楽天専用メールアドレスを使い、なおかつ特定の1つの店舗しか利用しておらず、しかもその特定の店舗を利用した途端にスパムメールが届くようになったという例があり、そのGIGAZINE読者の方は楽天にその旨を問い合わせたそうです。しかし楽天から来た返答は以下のような内容だったとのこと。

日頃は楽天市場をご利用いただきましてありがとうございます。

この度は、楽天市場までお問い合わせをいただくこととなり、
お手数をおかけいたしております。

まずはじめに、お客様が受け取られているメールの詳細について
わかりかねる部分がございますため、適切な回答を差し上げられない
可能性がございますこと、何卒ご了承ください。

誠に恐れ入りますが、楽天市場以外から送信されているメールに関しましては、
その配信経路等をわかりかねますため、弊社では対応いたしかねますこと、
なにとぞご理解たまわりますようお願い申し上げます。

未承諾広告等の中には、送信先のメールアドレスに
アルファベット等をランダムに配置し、送信しているようなものもございます。

ランダムに設定されたメールアドレスのひとつが、
お客様のメールアドレスに該当していたという可能性も考えられます。

弊社サービスを騙った迷惑メールを受け取られた場合は充分にご確認いただき、
不確実な場合は破棄していただきますようお願いいたします。

また、楽天をご利用になった際のお客様の情報は、楽天の個人情報保護方針に
もとづいて厳正に管理し、「利用目的」の範囲内で利用しております。

現在、お客様の個人情報が流出したとの事実は確認されておりませんので、
ご理解たまわりますようお願いいたします。

■楽天の個人情報保護方針
http://privacy.rakuten.co.jp/

くわえて、昨今は迷惑メール等が氾濫していることもございますので、
ご不安な場合には、消費者センター、ハイテク警察等の公的機関への
ご相談をご検討いただければと存じます。

現時点にて、お力添えできる範囲が限られており、申し訳ございません。

引き続き、楽天市場をご愛顧くださいますようお願い申し上げます。

対応としては特に間違っていないのかもしれませんが、楽天専用メールアドレスを使い、なおかつ特定の1つの店舗しか利用しておらず、しかもその特定の店舗を利用した途端にスパムメールが届くようになったというケースに対する返信メールです。あまりにも機械的対応過ぎるのではないでしょうか？もっと丁寧に調べていけば、メールアドレスを不正利用している店舗を本当は特定できるはずなのです。

ちなみに、各問題の解決方法は極めて単純です。

■問題点その1「楽天市場でしか使っていないメールアドレスに実名入りのスパムメールが届く」
↓
スパムメールの報告について調査し、スパムメール送信元を突き止め、どこから流出したかを特定する。結果として楽天市場ではないのであれば問題なし。万が一、楽天市場の各店舗のいずれかが流出元であった場合は適切に処分し、そのことを公開すればよい。

■問題点その2「楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せないと発表していた」
↓
再度、「楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せない」と発表し、今度はいつまでに完了するのかを明示する。また、完了できた際にはそのことをネット上で告知する。

■問題点その3「楽天市場の店舗は注文確認メールに書かれている顧客のメールアドレスを見ることができる」
↓
見られないようなシステムにする。

■問題点その4「楽天市場の店舗はお客様情報を検索した画面から顧客のメールアドレスを見ることができる」
↓
見られないようなシステムにする。

■問題点その5「楽天市場の店舗は審査に通ればCSVデータダウンロードサービスを利用して顧客のメールアドレスを見ることができる」
↓
CSVデータダウンロードサービスにメールアドレスを絶対に含めないようにする

■問題点その6「CSVデータダウンロードサービスは有料だが、その説明を顧客は受けていない」
↓
楽天が公式サイトで説明し、個人情報保護のページにも具体的に明記する

■問題点その7「各店舗が個人情報保護法を守ることを楽天は保証せず、メールアドレスが各店舗から流出する可能性を放置している」
↓
ここまでの解決法を実行すれば、放置しているとは言えなくなる

■問題点その8「楽天市場の店舗の一部に顧客のクレジットカード番号が渡っている」
↓
どんなに大きい店舗であれ、例外扱いを禁止する

■問題点その9「楽天は店舗側に顧客のメールアドレス・クレジットカード番号は見せないと発表していたが、実際には見ることができ、矛盾している」
↓
矛盾していたことを謝罪する告知を楽天の公式サイトで行い、今後の対応策を発表する。対応策についてはいつまでに完了するかの期限を区切る。期限までに完了しない場合はまた改めて期限を区切り、そのことを同じようにして発表する。

■問題点その10「これらの事実のどこが『全くの事実誤認』なのかを説明していない」
↓
GIGAZINEから楽天へインタビューを申し込むので、それを受けて一体どこが「事実誤認」なのか説明していただければよい。インタビュー内容は記事として掲載する。「全くの事実誤認」なのかどうかは楽天が判断することではなく、そのインタビュー記事を読んだ楽天の利用者が判断すべき。インタビュー記事の内容の正確性はGIGAZINEと楽天が相互に保証すればよい。

おそらくはこれら一連の事実について、どう考えても、張本人の楽天自身が「全くの事実誤認」をしているのではないか、と予想しています。

そのため、このままでは文字通り、楽天側の「事実誤認」となってしまうため、楽天に対してインタビューを申し込んでいるところです。断られるにせよ、受けてもらうにせよ、結果はさらに続報として掲載予定ですので今しばらくお待ちください。

また、GIGAZINEに対して、楽天の内情・楽天市場の各店舗の実情・実際のシステムの中身や問題点について各種情報提供をしていただいた多くの方々にこの場を借りてお礼を申し上げます。今回の件以外についてもさらに長期にわたる追加取材を今後は行い、新事実が発覚し、事実であるという裏取りができ次第、順次記事化予定です。また、取材源の秘匿については厳守いたします。ご協力、本当にありがとうございました。

最後に、GIGAZINEは楽天を全力で応援しています。がんばってください。