事故から学ぶ

キョードー東京チケットオンラインで別人の個人情報を表示

事故概要

業種 キョードー東京 ECサイト
発生時期 2019/03/15
漏えい人数 1,600人
事故概要

「キョードー東京チケットオンライン」 において、サイトにアクセスされた顧客情報が、別の個客に誤って表示される事故が発生した。事故発覚後、販売サイトを停止し手おりましたが、当初流出したと発表していたユーザーのパスワードについて、実際には流出していなかったことが分かったと発表した。サイトは3月27日正午に再開した。
原因は、販売サイトが高負荷によりアクセスしづらい状況に対し、システム会社が実施した改善措置に不十分な点があり、情報漏えいにつながったとのこと。
漏えいした個人情報は以下の通り。
・氏名
・性別
・電話番号
・住所
・生年月日
・メールアドレス
・秘密の質問
・秘密の質問の答え
・ID
含まれないもの
・パスワード
・銀行口座
・クレジットカード番号などの信用情報
再発防止策として、システム会社との連携を強化し、作業内容の確認を徹底するとしている。

引用元 キョードー東京

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
21-19 (第21条)従業者の監督 作業ルールの徹底(誤開示防止)
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?
ホームページに情報を掲載する際、個人情報、社外秘情報が含まれていないことを、複数回チェックしていますか。掲載後にも直ちにこれらの情報が掲載されていないかチェックしていますか。
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか?

■ 推奨対策

対策:

システムの障害対応計画不足である。
誤開示は十分予想できるもので、復旧時のテスト項目に含むものであるが、計画がズサンだったのか、定義されたテストを実施しなかったかのいずれかと思慮される。

具体例:

予算と時間を理由にシステムテストを割愛すると、必ずシステム事故を発生させることは周知の事実である。今回は緊急対応で行った作業で事故を誘発したものであるが、主因はシステム会社の配慮不足である。ただし、想定であるが、クライアントが十分な予算と時間を与えなかったならば、クライアント側にも責任の一端はある。
結果として事故を起こした場合、色々な損害を被るのはクライアントであり、クライアントがどこに妥協点を設けるかは、初期のシステム計画立案時に十分検討すべきものである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。