PASMOの履歴情報が第三者に閲覧されうる話

高木先生のブログでこんな記事が。

PASMOのサイトにマイページ・PASMO履歴照会サービス(www.pasmo.co.jp)というシステムがあり、そこに登録すると記名PASMOのSF残額履歴などが閲覧できます。

問題はその登録方法で、登録画面で入力する情報は

  • カード番号
  • 氏名
  • 生年月日
  • 電話番号(購入時に電話番号を登録した場合のみ)

の4つです。

……これらすべて、とくに秘密な情報ではありませんね。日常生活において、自分の氏名や生年月日、電話番号を他人に伝える場面は往々にして存在します。またPASMOのカード番号についても、株式会社パスモやPASMO取扱事業者とはまったく別の事業者がカード番号を入力させるサービスを展開していたりと、パスワードのような秘密にすべき情報とは異なった取扱いが成されています。

ということは、これらすべての情報を持っている第三者によって「登録」が行われ、マイページにログインされてしまう事態が想定されるわけです。

マイページで閲覧できる内容

§

では、マイページではどんな情報が見られるのでしょうか。私自身はPASMOなど交通系のICカードを所持していませんが、所有者の協力を得て登録からログインまでの工程を見せてもらいました。

まず、会員登録画面で先ほどの4情報を入力し、「確認」ボタンを押すとマイページ会員用IDとパスワードを入力するフォームが現れます。ここでIDとパスワードを入力して登録を行い、改めてログイン画面からログインすることで照会画面へ遷移します。

照会画面では、「定期券情報」「バス利用特典サービス」「SF残高履歴」の情報が表示されます。

サムネイル画像
照会画面のキャプチャーオリジナル画像

「定期券情報」は、区間や経由、種別(通勤1ヶ月、通学3ヶ月など)が表示されます。「SF残高履歴」とあわせて、おおよそどんな移動パターンか分かってしまいますね。

会員登録は上書き可能!

§

先の手順で会員登録を行うと、自分で決めたIDとパスワードが設定されるため、この時点で第三者にログインされる心配はなくなるものと思われました。注意事項に最後のご利用から3ヶ月間ご利用がなかった場合、再度会員登録が必要です。(www.pasmo.co.jp)とあることからあまり放置はできませんが、とりあえず3か月は安全だろうと。

ところが、会員登録した状態であっても改めて登録作業を行うことによって、IDとパスワードを上書きできてしまうのです。まさかそんなことはないだろうと、念のため再登録を試して出来てしまったときはさすがにずっこけました。

つまり登録の有無に関係なく、やはり第三者に閲覧されうる危険性は変わらないということです。

マイページ停止センター

§

そんな状況を知ってか知らずか、オプトアウトで登録を停止できるサービスが公式に用意されています。

お客さまのPASMOで「PASMO履歴照会サービス」の登録ができないように設定することができます。ご希望の場合は下記窓口までお申し出ください。

「マイページ停止センター」TEL:03-5325-9271 (土休日・年末年始除く9:30~17:00)

マイページ・PASMO履歴照会サービス | 便利なサービス | PASMO(パスモ)(www.pasmo.co.jp)
  • 余談ですが、この連絡先はなぜかGIF画像になっており、代替テキストも設定されていません。画像を表示しない環境や、スクリーンリーダーで読み上げている方には情報が伝わらないので、こういう実装はやめるべきです。

ということで、記名PASMOを所持しており、かつ履歴を見られたくないという方は、ここに電話して停止してもらいましょう。

PASMO以外の類似例

§

Twitter方面で知ったのですが、他の交通系ICカードでも同様のサービスが行われている例があるようです。

PASMOに限らず交通系ICカードを所持している方は、このようなサービスが行われていないか確認した方が良いかもしれませんね。


2012年2月29日追記当初の記事では、「マイページ停止センター」に電話して停止をし、さらにそれを解除する手順において、カード番号や氏名など、ウェブ登録と同じ情報しか聞かれず、先の4情報を知っている第三者に停止解除させられてしまう懸念を示していましたが、自身で電話して確認したところ、停止解除の際には公的書類などを送付し本人確認を行う必要があるとの回答を受けましたので、その部分の発言を撤回し、記述を削除させていただきます。

2012年3月1日追記NHKニュースによると、問題検証のためPASMO履歴照会サービスを停止したとのことです。

2012年5月19日追記復活することなく廃止されました