その後どうなりましたか?

> また回答きたら、皆様にお伝えします。
と書きつつ遅れてすいません。

あまりにあきれた対応だったので・・・・・

結論的には、ヤマダ側の言い分として・・
これはあくまで、携帯電話会社側(あえていいますソフトバンク携帯です。)の
修理内容の際の問題なので、まったく非はないとの一点張り!
基板修理・交換の際に、ソフトバンク社が基板を使いまわしていることが原因で
基板に付随している端末番号を利用して会員情報を取得しているので、こういう現象が起きる、との説明。
2週間後に、本来の自分のポイントが付与されましたが、なんの補填、誠意もなしでした。

一方ソフトバンク側は・・・・
修理で基板を交換することもあるので、そういう現象が起こることは
理論的にはあるが、あくまで携帯を利用した会員制度を開発、管理しているヤマダさんに問い合わせてみては・・・

いわゆるお互い相手に責任をなすりつける感じで・・・・あーあー
なんだか
とあまりにがっかりで、これ以降は労力の無駄なので　
以上となります。
つまりは、皆様も注意をしてください、というのが結論です。

つまり、ICチップが一緒だったということでしょ?
使いまわしで、完全にソフトバンクに非があると思うけどな

ヤマダ電機に限らず、どこでも起こりうる問題じゃないかと思いました。
おさいふケータイを修理に出すときは注意しないといけないという事ですね。

消費者センターに相談してみてはどうでしょうか。

いくら修理品の使いまわしでも大問題だと思いますよ。普通はデータをすべて消してから使うのが当然です。

ある意味個人情報も漏れてます。個人情報保護法違反です。
しかもポイント情報も絡んでくるので電子計算機使用なんとかで違反になります。

それにヤマダもソフトバンクも対応悪すぎです。責任のなすり合いって言うか、儲かってる企業ってだいたいそんな感じがするのは俺だけでしょうか。

公の機関に間に入ってもらった方がいいと思います。裁判だとお金かかりますが、消費者センターはほとんど無料です。

消費者センター云々は、まぁ個人の判断だとして、
何でヤマダ電機が悪いことになるの?

実際の構造はもっと複雑だけど、簡単に言うと、
携帯電話のチップの会員番号が12345という風になってて、
それに紐付けて12345という会員番号は山田太郎さん、としているわけですよ。

それを勝手にソフトバンクが12345のチップを山本一郎さんのに付け替えたわけですよ。

個人情報漏れるって言っても、名前とポイントだけですし、
(もれてることには変わりないですが)
住所やら電話番号などの重要情報がないと、
ダイレクトメール業者や、振り込め詐欺業者には売れませんよ。


上でも書いてますが、本件は100%ソフトバンクに非があります。(少なくとも私は思ってます。)
なぜヤマダ電機に責任を押し付けようとして、
更に消費者生活センターへ連絡して事を大きくして、三者で混ぜくりまわそうとしているのか意味が分かりません。
ソフトバンクの非を認めさせるために、消費者生活センターへ連絡するのはありだと思いますが・・・

ヤマダに責任は押し付けてませんよ。

ヤマダもソフトバンクもどっちも悪いと言ってるの。

ソフトバンクは基版の使いまわしで、データの削除も不十分。
ヤマダは、いくらソフトバンクの構造不備だとしても、他人に氏名やポイント残高、ポイントをいつでも使用できる状態にあったことでそれに対する対策をしていないということで問題があるのではないか。

また、ヤマダ、ソフトバンク両社で責任のなすり合いしてるのであれば、一般人にどうしろ言うのか。第3者が入るしか方法はないと思いますが。

責任あるにしろないにしろ、情報等が漏れているのだからそれなりの対応は必要です。「ヤマダに聞け」「ソフトバンクに聞け」だのたらい回し対応はどうかと思う。

ようちゃん123さんはヤマダ電機を弁護するのは構いませんが、一般的に考えてヤマダ、ソフトバンク。どちらにもある程度は責任はると思います。

SEの観点から見るとヤマダポイントの仕様の問題だと思います。

一般的には、端末情報ではなく、SIMカードの識別番号に紐付けるものですから。

解決されたようですが、今後のために書いておきます。

フェリカの使い方には、大きく分けて3つあります。

1、バリューをチップ上で管理するもの(Edyなど)
　　　
2、バリューはサーバで管理し、識別IDはユニークなものを振り分けるもの(ビックカメラなど)

3、バリューはサーバで管理し、識別IDはチップ由来のものを利用するもの(ヤマダ電機など)

1はさまざまな加盟店で即時決済が要求されるので、いちいちサーバにバリューを問い合わせる必要がないように、チップ上にバリューが載っています。逆に言うと、チップ(を搭載したカードや携帯)が盗まれると不正利用されてしまいますし、バリューの保障も受けられません。

2と3はバリューをサーバ上で管理します。決済後に加減算されたり、様々なチャネルで利用されることがあるポイントカードなどに適した方式です。

2と3で大きく違うのは、識別IDの部分です。2はフェリカチップ上にユニークな識別IDを記録しますが、3はフェリカチップ自体の製造IDなどの情報を識別IDに流用します。

2は、登録手続きが面倒(ビックカメラの場合、サービスカウンターでQRコードが印字されたレシート発行を受け、アプリをダウンロードしてフェリカチップを設定する必要があります)ですが、チップがどのサービスに使われているかがアプリの存在で容易にわかりますし、手放すときにフェリカチップをクリアすることで、後に取得した者が不正アクセスすることを防止できます。

3は、登録手続きが簡単(製造IDをパソリなどで読み取り、自社のデータベースと紐づけするだけ)です。ただ、厄介なことに、製造IDは製造時に付けられるID(生き物で言うと遺伝子情報)なので、フェリカチップを破壊する以外に無効にする方法がありません。なので、あるデータとフェリカチップが紐づけされたまま他人にわたり、利用されることがあり得ます。これは、端末固有番号を使ってログインするサイトを利用していた人が、端末を入手した他人に不正ログインされてしまうのとまったく同じことです。

つまり、端末を手放すときはデータをクリアし、フェリカチップをクリアし、すべての紐づけを解かなければ危険だということです。

今回の事例は、前の利用者が紐づけを解除していれば起きませんでした。ヤマダの紐づけ解除方法は「(ポイントアプリなどから)マイページ→ケータイdeタッチ→設定を解除する」です。携帯を手放す前にはぜひ行ってください。

ソフトバンクの責任についてですが、基盤の使いまわし自体がどうのというより、フェリカチップが使いさしなので、製造IDが変わっているという注意をすべきでした。外見は同じ機種なわけで、普通は自分の携帯が”戻ってきた”としか思いませんから。さらには、現在の携帯の中身がどうなっているのか知りませんが、基盤の使いまわしが行われている以上、フェリカチップの部分だけでも交換できるようにして、フェリカチップだけは使いまわしをしないような設計をすべきだと思います。製造IDから色々な履歴を辿ろうと思えばできなくもないので。

ヤマダの責任についてですが、真正なIDを提示されているので、今回については免責していいと思います。ただ、全体的なポイントカード制度への責任として、このような脆弱な本人認証で、顧客の財産であるところのポイントを払い出していいのかという指摘はあり得ると思います。ただ、金融機関ではないので、本人認証を確実にやれというのは無理があるとも思います。私のアイデアでは、ポイントを利用するときだけでも電話番号の末尾4ケタや誕生月日を照合するなどして「人違い」によるポイント利用を防ぐということをしたらいいのではないかと思います。ただ、これも完全ではありませんし、加算時のミスは防げません。

一番確実な対策は、携帯を修理に出すなどしてフェリカチップが変わっていそうな時には、レシートのポイント口座番号と自分のポイント口座番号を照合することではないでしょうか。人はミスをする、特に大企業や役所はミスが多いということを意識して生活したほうがトラブルを回避できるなぁと、これは私の実感なのですが。

連投してすみません。誰かの役に立てば幸いです。(文中の用語は自分用なので、専門家には通じません)