PR

 LINE傘下でスマートフォン決済大手の「LINE Pay」は2021年12月6日、国内外の13万3484件のユーザーのキャンペーン参加に関する情報がインターネット上で2カ月超にわたり閲覧可能だったと発表した。

 閲覧可能だったのは2021年9月12日~2021年11月24日の期間で、2020年12月26日~2021年4月2日の間に4種類のキャンペーンに参加したユーザーの情報。13万3484件のうち国内のLINE Payユーザーは5万1543件だった。具体的には対象ユーザーの識別子、加盟店管理番号、キャンペーンコードなどの「キャンペーン情報」。キャンペーン情報にはキャンペーン名称や決済金額、決済日時が含まれる場合がある。氏名や住所、電話番号、メールアドレス、クレジットカード番号、銀行口座番号などは含まれていないという。

 経緯は以下の通りだ。委託先のグループ会社従業員が2021年1月と4月にポイント付与漏れの調査を実施した。2021年9月12日、その調査を行うためのプログラムおよび対象ユーザーのキャンペーン参加に関する情報を、ソースコード共有サービスの「GitHub」上にアップロードしていた。閲覧可能だった情報の一部には決済金額や決済日時が含まれていた。

 2021年11月24日18時27分、社内のモニタリング業務を通じて、GitHub上の当該情報を検知した。同日18時45分、GitHub上の当該情報の削除を完了した。9月12日から2カ月以上にわたり閲覧可能だったことになり、この間、部外者からのアクセスが11件あったことが分かった。12月6日16時頃、該当するユーザーには個別に通知した。

 LINE Payは「ユーザーおよび関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます」としている。

 同社では2021年11月にも一部で二重引き落としが起こる不具合が約2万5000件起こっており、トラブルが相次いでいる。