ラブホテル検索＆予約サービスで個人情報漏洩事故。会社の存続に関わる？！

2019年12月、また個人情報の漏洩事故が起きてしまいました。

今回、漏洩事故を起こした会社は株式会社アルメックス。ラブホテルの検索＆予約サービスの「ハッピーホテル」というアプリから、情報が漏洩したとのことです。

ラブホテルの検索と予約サービスということは、人知れず使っている人も多いことでしょうから、利用者の周辺でトラブルが起きれば、サービス運営会社の存続に関わる事態です。

今回は、そのハッピーホテル個人情報漏洩事故からの学びを見ていきます。

なお当社UPFでは、プライバシー保護に力をいれる企業様のための、Pマーク取得支援を行っております。Pマーク取得関連でご興味ございましたら、ぜひお問い合わせください。

■お見積もりや、ご説明の訪問依頼はこちら

｜ハッピーホテルとは？

まず、今回の事故を起こしたハッピーホテルの詳細からです。

ハッピーホテルとはラブホテルに特化した検索と予約のサービスです。クリスマスから年末年始バレンタインホワイトデーにかけて、ラブホテルは大変にぎわいます。

予約を取ろうにも、なかなかそういうムードにならないことも・・・。

そうした、予約や来店のハンドリングが非常に難しいラブホテルの運営と利用において、ハッピーホテルは全国をまたにかけ、検索と予約を実現しました。

ハッピーホテルはアプリのサービスで、iOSとAndroidの双方があります。
2011年頃にはすでにリリースされていたサービスで、アプリの中では老舗ではないでしょうか。もう8年以上の歴史を持っています。

よって、「ハピホテマイル」と呼ばれるマイレージがたまって決済時に使えるなど、ラブホテルのヘビーユーザーにはありがたいサービスとして人気でした。

｜ハッピーホテル個人情報漏洩事故とは？

正確にはいつ漏洩したかは、2019年12月22日ごろとしか公表されていませんが、ハッピーホテルで

• メールアドレス
• ログインパスワード
• ハンドルネーム、誕生日、性別
• 都道府県市区町村

の流出が確認されました。メールアドレスや生年月日だけなら、ごまかすこともできますが、これらの情報がまとめて流出してしまっては、もう個人を特定するのは容易になってしまいます。

しかも、パスワードまで流出したのですから、大問題です。

単体では個人情報とまではいえない情報でも、まとめて流出すればそれは個人を特定することが簡単になり、個人情報になってしまいます。

よって、今回はよりによってラブホテルという極めて利用者のプライバシーを取り扱うサービスが、そのプライバシーを侵害しかねないのです。

流出した経緯などは明らかにされていないので、原因そのものはまだわかっていません。おそらく、バックドアなどが仕掛けられたか、アプリそのものに脆弱性があったか、どちらかではないでしょうか。
 

｜大きな2つの問題点

このハッピーホテル問題は、２つの大きな問題点があります。
 

その１：ラブホテル利用者という極めてプライベートなデータを流出させた

ラブホテルを利用したことのある方はわかると思いますが、利用をしたことがない方も、ラブホテルの存在はご存知だと思います。
利用したということは、かなり知られたくない情報ですよね。
性というもっともプライベートな話であり、同時にさまざまな思惑がからむ場所でもあります。

通常の愛し合う２人が利用するだけでなく、密会・不倫・浮気・ワンナイトラブ…そういった思惑がからみますので、利用していることを知られたくない！という人がほとんどだと思います。
アンケートをとってみたら、99.8％近くの方が
「ラブホテル利用者だということを知られたくない」
と思っているのではないでしょうか。
だからこそ、こうしたハッピーホテルのようなサービスがうまく軌道に乗っていたのです。

それが、その利用者データが漏洩してしまったのですから、今後は不倫がバレた、仕事中に逢瀬しているのがバレた、会社のメールアドレスでラブホテルを利用しているのがバレて解雇されたなど、さまざまなトラブルが発生することが予見されます。

そうなれば、ハッピーホテル側は責任問題ですから、損害賠償請求なども考えられます。
もちろん、仕事中に会社のメールアドレスでラブホテルアプリを使っていたら、それはそれで懲戒免職になっても仕方のないことではあります。
しかし、利用者にとって大切な個人情報を守らなかったという点で、落ち度があるのはアプリ側です。

損害賠償請求の裁判になったとしたら、世論は利用者を責めるでしょうが、一番悪いのはハッカーだとして、次に運営に責任があります。
それを理解した上で、こうしたサービスを展開していたはずなのです。

ラブホテルの運営側というのは、なかなかグレーな業界であることは事実であり、そうした相手に対しての信用問題という側面からも、大きな問題であることがわかります。
 

その２：暗号化せず平文パスワードで保存していた可能性

そして、暗号化を行わず、平文でパスワードを保存していたらしいので、それも別の問題として挙げなければなりません。
基本的にパスワードを平文で保存し、流出したらパスワードの（例：hoteluser）そのままの文章がみえてしまうのは、システムを作る上で問題以前の問題です。

スマートフォンのアプリは、iOSやAndroidといったOSの上にあるミドルウェアの上で稼働しています。
よって、なかなか侵入は難しく、まずスマホアプリそのものを破らなければなりませんから、ハッキングは比較的困難です。

よって、今回はおそらくアプリではなくWebサービス上から漏洩したものと考えられます。
インターネット経由でサービスにリモートログインをするシステムは多くなっています。
運用上、ピーク時間外にメンテナンスを行う必要性があり、リモートログインはエンジニアにとって必要だからです。

ラブホテルは通常、夜間が利用のピークですので、その間はアプリも大忙しになります。
逆に、午前中はサービスを停止することもあったのではないでしょうか。
よって、夜勤を終えたエンジニアが緊急時などにつなぐため、自宅からリモートログインをする可能性はあったでしょう。

さらに、パスワードを平文で保存してるぐらいの技術力ですから、そのあたりも、リモートログインもセキュリティが甘かったのかもしれません。
 

｜同じような事故を起こさないために

大切なのは事故から学び、他山の石とすることです。

では、同じような事故を起こさないために、何ができるでしょうか。

まず、ログインパスワードを平文で保存するのは論外です。かならず暗号化して、保管するべきです。これはよいわるいの問題ではなく、平文で丸見え状態で保存するのは絶対にやってはいけないことです。もう20年以上前から、日本のシステムはパスワード平文保存を繰り返しています。

学ぶべきです。

さらに、万が一に備えて、こうしたプライベートな利用を想定するサービスでは、co.jpといった会社のドメインからは登録できないようにすべきではないでしょうか。
万が一、出張先でホテルがダブルブッキングで取れず、経費でラブホテルに…というパターンがなくもありません。

しかし、その場合は個人で利用してあとから経費精算すべきことなので、co.jpのドメインは全部はじいて、顧客を最低限守るべきです。

たとえば、転職コンサルタントはメールアドレスを会社で登録させません。転職活動が会社にバレると、何も良いことがないからです。そのように、ラブホテル利用という名目上、会社ドメインをはじいて、顧客を守りましょう。

ラブホテルに限らず、自社のサービスがどのようなシーンで利用されるかペルソナをしっかりたてて、万が一に備えるべきです。
 

｜まとめ

あとは、ハッキングに注意することは間違いなく、リモートログインのシステムそのものを見直したり、運用人数を増やしたり、専門家を雇い入れたりして、セキュリティを高めるべきです。

こうしたサービスの個人情報漏洩は致命的で、会社の存続に関わるものです。

よって、全力でセキュリティを高める必要があります。
セキュリティの専門家とともに、プライバシー保護の専門家も雇い入れると良いのではないでしょうか。

当社UPFでは、Pマーク取得のコンサルティングを実施しています。

Pマークにまつわるあらゆる事項をバックアップしてまいりますので、ぜひこうした事例を教訓に、自社サービスの開発につとめられることを願っております。

参考：
https://happyhotel.jp/others/info20181210.jsp

■こちらの記事もおすすめです

>>>【個人情報をUSBメモリに入れるのはリスク！歯科医師会でメモリ紛失】