Sony Music Shop、個人情報流出に関する調査続報を公表

ソニーミュージック マーケティングユナイテッドが運営する「Sony Music Shop」にて発生した個人情報閲覧可能状態の事案について、同社は3月21日付で調査の進捗状況を公表しました。本件は、2025年2月21日および28日に公式に報告されていたもので、継続的な調査を通じて新たな詳細が明らかになっています。

確認された個人情報流出の対象範囲

当初、他の利用者から閲覧されていた可能性のあるアカウント件数は6,752件とされていましたが、調査の結果、そのうち6,614件については閲覧の事実がなかったことが確認されました。

一方、残る138件については現在も調査が継続中となっており、該当するすべての対象者に対しては、個別にメールで連絡が行われています。

決済情報関連項目の追加判明

今回の報告では、新たに「外部サイトアカウント連携」を利用した顧客の一部において、閲覧され得た情報の項目が拡大していたことが判明しました。

対象は、調査中の138件のうち、Amazon Payまたは楽天ペイを利用していたユーザーに限定されます。

閲覧可能であった可能性のある情報は以下の通り

• 氏名（漢字・フリガナ）

• 住所（郵便番号、都道府県、市区町村、丁目・番地・号、建物名/部屋番号）

• 電話番号

• メールアドレス

• 性別、生年月日

• 「My Page」内の表示情報（カスタマーデスクからのお知らせ、出荷完了通知、注文履歴一覧、ポイント通帳）

さらに、クレジットカード情報を登録していた場合には、

• カード番号の下4桁

• 有効期限

• カード名義

の情報も一部表示されていた可能性があるとされています。ただし、これらの情報のみでは直ちに不正利用が行える状態ではないとされています。

今回のセキュリティインシデントはECサイト運営における認可制限・閲覧制御の設定不備が、ユーザー情報の第三者閲覧というリスクをもたらすことを示した事例です。特に外部アカウント連携や決済機能といった複雑な連携処理においては、アクセス範囲の設計やマスキング処理の徹底が、今後のリスク低減に向けた重要な課題となります。