楽天は2020年12月25日、クラウド型営業管理システムに保管していた情報の一部が社外の第三者から不正アクセスを受けていたと発表した。楽天のほか、楽天カードや楽天Edyも被害に遭い、最大で延べ148万件超の顧客情報が不正にアクセスできる状態だった。日経クロステックの取材で、このクラウド型営業管理システムが米salesforce.com(セールスフォース・ドットコム)のシステムだったことが分かった。

 不正アクセスの原因は、楽天がクラウド型営業管理システムのセキュリティー設定を誤ったことにある。2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。再設定が必要だったが、できていなかった。2020年11月24日の社外のセキュリティー専門家からの指摘をきっかけに、設定の誤りが判明。社内のセキュリティー専門部署を中心に対応し、2020年11月26日までに正しい設定に直した。

 不正アクセスを受けた可能性がある顧客情報は、例えば楽天ではEC(電子商取引)サイト「楽天市場」に出店見込みあるいは契約済みの事業者の企業名や店舗名、住所、代表者名、電話番号、メールアドレスなどだった。不正アクセスを受けた可能性がある期間は2016年1月15日から2020年11月24日まで。楽天では最大138万1735件が不正アクセスを受けた可能性があり、うち208件に実際に不正アクセスがあったという。

 楽天は不正アクセスは海外からあったとみている。現時点で法人や個人の顧客に対する被害は確認していないという。