事故から学ぶ

株式会社エディットモード 個人情報1万4千件超流出、アップデート作業の不手際で不正アクセスが発生

事故概要

業種 ネット通販
発生時期 2018/12/10
漏えい人数 14,679人
事故概要

(1)2018年3月7日から2018年7月11日に外部からの不正なアクセスにより、新規お申し込みをいただいた際に、ご登録いただいたクレジットカード情報が抜き取られた可能性があること。
(2)2018年1月に弊社サイトはセキュリティ向上を目的とし、サイトのアップデートを行ったが、アップデートを依頼した管理会社の不手際により、外部から簡易にアクセスができる仕様になっていたこと。
流出したクレジットカード情報については以下の通りです。

1,カード氏名
2,クレジットカード番号
3,クレジットカード有効期限
4,セキュリティーコード

クレジットカード会社には、該当するクレジットカード情報を報告し、それ以降の不正利用防止のモニタリングを依頼しております。
公表が遅れた経緯について

2018年7月11日に流出のおそれが発覚してから今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、決済代行会社と協議し不確定な情報の公開はいたずらに混乱を招くため不適切であると判断しました。弊社といたしましては、お客様へのご迷惑を最小限に食い止める対応準備を整えてから告知することとし、調査会社の調査結果の報告およびカード会社との連携を持ち、本日本件につき公表に至りました。今回の公表まで時間を要してしまい、結果お客様に不信感、誠実さに欠ける対応と印象を与えてしまった事、重ねてお詫するとしている
また、今回の不正アクセスについて、監督官庁である個人情報保護委員会事務局には2018年10月26日に報告済みであり、また、所轄警察である下京警察署 生活安全課にも2018年10月18日に被害報告した。
今回、不正アクセスによる被害ではありますが、発端が人的不手際で起きてしまった事故として報告している。

引用元 株式会社エディットモード発表資料

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
1-5 パソコン利用教育

チェックリストにある要求ルール:

利用中のウェブサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

調査会社より指摘されたシステムの脆弱性および管理体制の不備な点につきましては、従来のサイトの閉鎖、サーバー、システムから全て新たに制作し、更なるセキュリティの強化・改修を進めている。
今回の情報漏洩の直接的な原因となった管理会社との契約を解消し、新たな信頼の置ける管理会社と契約いたしました。
システムのセキュリティ対策および監視体制の強化を行う

具体例:

上記対策は報道発表資料からの引用だが、問題点が2つ含まれている。
ひとつはシステムに脆弱性があったこと、ひとつは信頼のおけない管理会社と契約をしていたことである。
システムの脆弱性だが、常に環境が変化するため、昨日まで安全でも今日には漏えいする、という状況が発生する。常にセキュリティー動向の最新情報を把握するとともに、サーバ管理会社とも密接な連絡を取り、安全対策を最新化しておくこと。
二つ目の信頼のおけない管理会社、というケースは、契約時にはまともであったが要員の入れ替えや作業への慣れ、などで安全性が脅かされるケース、費用を抑えるため格安の会社を選択したケースなどが考えられる。要員の技量劣化等で安全性が脅かされるケースは密接に管理会社と情報交換をしていれば把握できる部分もある。まかせっきりはダメだ、という一例である。格安の会社との契約には安いなりの理由があるはずなので、費用対投資効果、安全性について内部で契約基準を設け、さらに運用実態の確認を多頻度で行うべきである。外部委託の管理義務は改正個人情報で負わされた発注者側の責任である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。