6ヶ月間SSN露出 PayPalコードミスが示すPII保護の教訓コーディングエラーが招く法的責任・ブランド毀損・開発停止リスク

PayPalのローンアプリで個人情報が6ヶ月間露出

PayPalのローンアプリで、コーディングエラーにより顧客のSSN（社会保障番号）や生年月日が6ヶ月間露出していたことが判明しました。情報漏えいは法的責任、ブランド毀損、そして開発プロジェクトの停止リスクに直結します。2025年2月20日に公表された今回の事例から、自社の開発体制を見直すべきポイントを解説します。

影響を受けた情報には氏名、メールアドレス、電話番号、事業所住所に加え、SSNや生年月日といった機密データが含まれています。外部からのハッキングではなく、自社のコードに起因するミスという点で、システム開発における品質管理の重要性を改めて浮き彫りにしました。

インシデントの詳細と発覚の経緯

今回の露出は2025年7月1日から12月13日までの約6ヶ月間続きました。PayPalは12月12日に問題を検知し、翌日にはコード変更をロールバックして対応を完了しています。同社は「システム自体が侵害されたわけではない」と説明しており、外部からの不正アクセスではなくコーディングエラーによる露出であることを強調しています。

しかしながら、露出期間中に一部の顧客で不正取引が発生しており、PayPalはすでに返金対応を実施しました。また、影響を受けた顧客には2年間の信用監視サービス（Equifax経由で3社の信用情報をモニタリング）と最大100万ドルのID盗難保険を提供しています。

PayPalでは2022年にもクレデンシャルスタッフィング攻撃により約35,000件の顧客情報が流出しており、2025年にはニューヨーク州との200万ドルの和解に至っています。繰り返されるインシデントは、大手フィンテック企業においてもセキュリティ対策の成熟度に課題があることを示しています。

フィンテック企業が直面するPII保護の課題

影響を受けた顧客数は約100名と限定的ですが、SSNと生年月日の組み合わせはID盗難において悪用されやすい情報です。米国ではSSNが信用照会や各種手続きの本人確認に広く使われているため、この2つが揃えば不正なローン申請やクレジットカード発行が可能になります。

また、6ヶ月間にわたり問題が検出されなかった点は見過ごせません。これはコードレビューやセキュリティテストのプロセスに不備があったことを意味します。PPWCは中小企業向けの運転資金ローンサービスであり、事業者のPIIが露出したことで、個人の被害だけでなくビジネス詐欺のリスクも生じています。

自社に当てはまるかチェックすべき3条件があります。1つ目は、API変更時にセキュリティレビューを実施していないこと。2つ目は、PIIへのアクセスログを監視していないこと。3つ目は、外部専門家によるセキュリティ診断を定期的に受けていないこと。これらに1つでも該当すれば、同様の事故リスクがあると考えるべきです。

セキュアコーディングと監視体制の見直しポイント

PayPalの事例から学び、自社のシステムを見直すべきポイントは以下のとおりです。

まず、ローンアプリケーションやフォーム系APIにおけるPII露出テストを実施してください。認証バイパスやパラメータ操作により、意図しないデータが第三者に見える状態になっていないか確認が必要です。

次に、コード変更時のセキュリティレビュープロセスを見直しましょう。今回のインシデントは新機能のリリースやコード修正に伴って発生した可能性が高く、変更管理とセキュリティレビューの連携が求められます。

さらに、SSNや生年月日などの機密データについては、露出期間を短縮するためのデータフロー監視の導入を検討すべきです。異常なアクセスパターンをリアルタイムで検知できれば、長期間放置されることは防げます。

加えて、開発チームへのセキュアコーディング研修を定期的に実施し、PIIを扱うコードの記述ルールを徹底することも重要です。最後に、外部のセキュリティ専門家による定期的な脆弱性診断を受けることで、自社では気づきにくい問題を早期に発見できます。

セキュリティ対策の見直しはGXOにご相談ください

コーディングエラーによる個人情報露出は、どの企業にも起こりうる問題です。GXOでは180社以上の支援実績をもとに、セキュリティ診断からSIEM/SOAR導入、SOC運用支援まで一気通貫でサポートしています。自社のセキュリティ体制に不安がある方は、ぜひお気軽にご相談ください。

お問い合わせはこちら