PayPayは、同社の管理サーバーが不正アクセスを受け、遮断する措置をとったと発表した。加盟店に関する営業情報に海外からのアクセス履歴があり、影響を受けた可能性のある情報は最大2,007万6,016件にのぼる。
不正アクセス履歴のあった情報は、加盟店の店名や住所、連絡先、代表者名、売上振込先、営業対応履歴など。PayPay従業員や、PayPayのパートナー・代理店、加盟店向けアンケート回答者の情報なども含まれる。原因は「当該情報へのアクセス権限の設定不備」としている。不備のあった期間は2020年10月18日~12月3日。
PayPayは、12月1日に外部からの指摘を受けてアクセス履歴を調査したところ、11月28日にブラジルからのアクセスを1件確認。12月3日までに遮断する措置を実施した。現時点で、これらの情報が利用された事実はないという。
同社は、加盟店管理システムのアクセスモニタリングやシステム変更時の監視を強化。「今回の事象を重く受け止め、再発防止に努める」としている。