[個人情報の不正な保管と流出の可能性に関するお詫びとお知らせ]
さて、2009年8月から10月にかけて弊社が実施いたしました「'09年秋のHAPPY REFRESH キャンペーン」(注)にご参加いただきましたお客様の個人情報95,689件が、2012年2月3日(金)から7月5日(木)までの約5カ月間、インターネット上で検索可能なサーバーに置かれていたことが判明いたしました。なお、弊社では、判明した当日のうちにサーバーから一切の個人情報を削除し、現在はインターネット上で閲覧できないことを確認しております。
このような事態を発生させ、キャンペーンにご参加いただいたお客様ならびに関係者の皆様には、多大なご迷惑とご心配をお掛けいたしますことを、深くお詫び申し上げます。
1.経緯
2012年7月5日(木)に、「'09年秋のHAPPY REFRESH キャンペーン」にご参加いただいたお客様の個人情報が、インターネット上で閲覧できるとの連絡を受けて、直ちに調査を開始しました。弊社が管理すべき個人情報であることを確認し、サーバーから同日22時15分に一切の個人情報を削除し、閲覧できないことを確認いたしました。お客様の個人情報の内容は、氏名、性別、メールアドレス、住所などです。同個人情報は、キャンペーン完了後3カ月以内に廃棄処分されるべきもので、弊社は2010年2月1日(月)に弊社がキャンペーンの個人情報管理を委託していた外部委託先から、廃棄証明書を受領しておりました。しかし、同委託先の個人情報取り扱いの担当者が、同データを会社貸与の個人使用パソコンに複製して不正に保有し、2012年2月3日(金)に、インターネットに接続したレンタル・サーバーに移したため、検索可能な状態になりました。
これまでの調査で、個人情報を削除した7月5日(木)の直近3カ月間の同サーバーへの外部からのアクセス件数は、7月2日(月)から7月5日(木)の4日間の87件で、この間にお客様の個人情報が流出した可能性があることが判明しました。お客様の個人情報が不正に使用された事実はこれまでに確認されておりませんが、弊社では、関係当局にも報告して、お客様情報の不正使用防止に努めております。なお、同個人情報は、これ以外に外部に流出していないことを確認しております。
2.閲覧可能であった情報の内容
(1)閲覧が可能であった件数: 合計 95,689件
(2)閲覧が可能であった期間: 2012年2月3日(金)から7月5日(木)まで
(3)キャンペーンの業務委託先: (株)博報堂 (個人情報管理再委託先: (株)フォーク)
以下略
懸賞や会員データの漏えいはこれまでにも何度かあったし、パターンも多種多様に及ぶけど、今件は覚え書きしておいた方がよいかな、ということで、取り急ぎ。リリース内容がすべて事実という前提だけど、事態発覚から1週間でリスク状態への対応を済ませ、原因を究明し、犯人を特定し、今後の改善策まで打ち出したあたりは、十分以上に評価に値する(と個人的には思う)。
それにしても「犯人」の行動、何らかのミスとかじゃなく、どう見ても悪意あるデータ取得だよねえ、これ。自前のオープン、あるいはクローズドな掲示板かローダーで「個人情報」云々として自慢していたのか、あるいは販売でもしてたのかなあ。
カルピス側では「①外部委託先選定基準の見直し」とあるけど、リリースでは「博報堂に依頼」「博報堂はは出しているけど、肝心の部分は「従業員の重大な過失」としか書いてないもんなあ......。どこまで「謙虚に反省し謝意を見せる」のか、ですな。
コメントする