消費者庁は、2月17日にiTunes株式会社に照会した事項について、iTunes株式会社から3月2日に回答があったとしてその内容を公開した。「照会事項に対する音楽情報サイト運営事業者からの回答について」(PDF)として同庁Webサイトに掲載されている。またこれに対し、消費者庁から改めて補足質問「音楽情報サイト運営事業者に対する補足的な質問について」(PDF)がなされ、12日までに回答するよう求めている。
iTunesは、回答文書冒頭にて、当局に可能な限り協力し日本の利用者のため課金に関する提携先と継続的に連携すること、日本において請求の問題が異常増加している認識を有していないものの、利用者のために調査を継続していることを挙げている。
個別の回答内容は、以下の通り。なお消費者庁からの補足質問は、基本的に、これらiTunesからの回答に対し具体的かつ詳細な情報・根拠を明示するよう要求する内容となっている。iTunesの「顧客満足度は業界最高水準」とする回答に対し、心当たりのない利用料金の請求におけるiTunesの顧客対応について、利用者から具体的にどのような声が寄せられているか、どのように応対してきたかなどを質問している。
照会事項1: 心当たりのないiTunes Store利用料が請求された事例/詳細をどの程度把握しているか
特定の利用者より連絡のあった事例について調査を継続中。ただしプライバシーの問題などにより個別の利用者の事例に関するコメントは行えない。またこれは、特定の事例に関係する利用者氏名またはアカウント情報なしに、特定の問題に対応することはできないため。現時点において、iTunesから情報の漏洩を示すいかなる証拠はないとしている。
照会事項2: 発生原因は何か? 原因究明のための今後の方針/予定は?
考えられる発生原因としては、クレジットカード詐欺、利用者の電子メールアカウントの漏洩、利用者がアカウント情報を誤って共有した(電子メールアドレスの誤入力、フィッシング詐欺など)などを挙げている。これらはiTunes特有の問題とはいえないが、日本の利用者の懸念をかんがみ、厳重なモニター体制を継続するとしている。
照会事項3: 顧客のID/パスワード情報/クレジットカード情報などの保護の仕組み
利用者の個人情報保護のために使用している技術およびプロセスは、世界的に見ても業界最高水準であることを挙げている。さらに同社は、JCB/American Express/Discover/MasterCard/VISAが共同策定した、クレジット業界におけるグローバルセキュリティ基準PCIデータセキュリティスタンダード(PCIDSS/Payment Card Industry Data Security Standard)の遵守が求められていること、第三者認定審査機関(QSA)によるシステム検査を毎年受けており、この評価において不遵守事項の指摘を受けていないことを提示している。
また昨年12月より、漏洩したアカウントにおける購入防止のために、利用者のパスワードが変更された場合は常に、購入前にクレジットカード番号を再度認証するよう求められる仕様となっていること、アカウント作成や請求先情報の変更リクエストすべての処理を、不正検出対応新システムで開始する予定としていることを挙げている。世界規模で不審な行動がないか、アカウント作成および変更のすべてをモニタリングすることになり、継続的な改善のひとつとしている。
照会事項4: 心当たりのない利用料金が請求されたという連絡を受けた際の対応方法
利用者から、請求内容に関してiTunesに連絡があり次第審査が行われ、不正課金と確認された場合は、利用者に対し銀行またはクレジットカード会社に不正行為を通知し課金に異議を申し立てるよう連絡を行う(これにより銀行側は、利用者のクレジットカード情報の漏洩を認識できる)。また、アカウントのパスワードは再設定が行われる。利用者には、ユーザー名およびパスワードの取り扱いに注意するよう告知を行っているとしている。
iTunesは、課金問題のモニタリングを継続しており、不正が疑われる場合、該当アカウントの無効化とともに、該当クレジットカードが他のアカウントにおいて使用されることを防止している。
利用者の購入に関連する請求明細を、保有アカウントに関連する電子メールアドレスにメール送信しており、またiTunes内アカウント情報セクションにある購入履歴にアクセスすることで、過去の購入情報を確認できるようになっている。
iTunesは、利用者から異議があった請求について、クレジットカード会社への返金に応じている
照会事項5: 電子メールのみの質問受付方法について
iTunesは「顧客満足度は業界最高水準」とし、利用者からの質問の95%を48時間以内に、また質問の25%について4時間以内に返答していると回答。iTunesがオンラインサービスであることから、電子メールによるカスタマーサポートが利用者とのコミュニケーションをとる方法において最も効果的および効率的な方法としている。
消費者庁からの補足質問
iTunesからの回答文書にある「日本において請求の問題が異常増加していない」とする根拠は何か?、さらに照会事項1において、心当たりのない請求に関する事例、調査の方法、判明内容の具体的な情報を寄せるよう要求。利用者の識別・特定に結びつく情報を除外することで、個人情報保護に支障のない範囲で回答できるものとしている。
照会事項2に関しては、iTunes側が列挙した3種類の要因を発生原因としている根拠、またこれら要因がiTunes特有の問題ではないと考える根拠は何かを求めている。また3種類の要因それぞれで何件の事例が発生しているのか、発生時期ごとに示すよう要求。
照会事項3においては、第三者認定審査機関(QSA)とはどのような組織か、検査内容や評価内容はどのようなものかの明示を要求。ユーザー名およびパスワードの取り扱いに関する注意やセキュリティの重要性について、具体的にどのような方法で呼びかけているか、またより強く注意を喚起する方法としてWebサイト上のわかりやすい場所に掲示するといった方策を採用しないのか質問。iTunesのIDにおいて、メールアドレス以外の文字列をIDとして設定可能かどうか、また不可能である場合、これを可能としないのかどうか質問している。
利用者のパスワードが変更された場合、購入前にクレジットカード番号を再度認証するよう求める仕様にした理由、対策実施前後での事例発生件数、発生率変動の有無の観点からみた導入効果を質問。同一のメールアカウントに対し、限られた時期に複数パスワードを入力することでログインを試みた事例を把握しているか、また防御策をいつどのように講じたのか問い合わせている。不正検出対応の新システムとはどのようなものか、導入予定時期はいつか、具体的にどのような効果を期待できるのかも明らかにするよう求めている。
照会事項4では、不正課金か否かに関する審査で利用される資料、手続き方法、不正課金とされる要件、審査終了するまでの時間などを質問。また不正課金の認定のために、利用者からどのような情報を提供する必要があるか、不正課金かどうかの確認作業終了前や不正課金と認定されなかった場合、当該IDの使用停止措置は講じられないのか、また不正課金と確認されない限りパスワードの再設定は行われないのか質問している。また不正課金の場合、銀行およびクレジットカード会社および利用者に対し、その旨の情報および必要な情報は提供されるかどうかを尋ねている。
さらに、不正が強く疑われる場合という状態の具体的情報、またアカウント無効とした事例についてその件数と時期、該当事例の利用者に対して無効化の理由を通知しているか否かを質問している。利用者からの異議によりクレジットカード会社へ返金した請求に関する、時期/会社ごとの件数・総金額の情報、また返金に応じなかった場合の同様の情報やその理由を要求している。返金に関する情報を利用者に提供しているか否か、情報提供していない場合の理由も問い合わせている。
照会事項5では、iTunesの「顧客満足度は業界最高水準」とする回答に対して、心当たりのない利用料金の請求に関して、iTunesの顧客応対に利用者から具体的にどのような声が寄せられているか、どのように対応してきたか質問している。
「照会事項に対する音楽情報サイト運営事業者からの回答について」
|
|
|
|
|
|
|
音楽情報サイト運営事業者に対する補足的な質問について
|
|
|
|
|
