事故から学ぶ

個人情報流出に関するお詫びとお知らせ 10mois WEBSHOP

事故概要

業種 WebShop ECサイト
発生時期 2014/12/12〜2019/05/20
漏えい人数 120,074人
事故概要

「10mois WEBSHOP」で、外部からの不正アクセスがあり、サイトを利用された顧客の個人情報が流出した可能性があると発表した。
【ケース1】
(1)期間
2018年8月7日~2019年3月27日
(2)個人情報が流出した可能性のあるお客様
上記期間中に「10mois WEBSHOP」クレジットカード決済をご利用されたお客様または「10mois WEBSHOP」から転送された偽決済ページにおいて
クレジットカード情報を入力されたお客様
件数:最大11,913件
(3)流出した可能性のある情報
・クレジットカードのカード会員名
・クレジットカードのカード番号
・クレジットカードの有効期限
・クレジットカードのセキュリティコード番号
【ケース2】
(1)期間
2014年12月12日〜2019年5月20日
(2)個人情報が流出した可能性のあるお客様
上記期間中に「10mois WEBSHOP」に会員登録をいただいていたお客様及び同ウェブショップにおいて商品をご購入いただいたことのあるお客様、ウェブショップからギフト商品が届いたお客様、また、10moisAOYAMA店・10mois NAGOYA店にて会員登録をされたお客様
件数:最大108,131件
(3)流出した可能性のある情報
・氏名
・電話番号
・FAX番号※1
・メールアドレス
・住所
・性別※1
・職業※1
・勤務先※1
・生年月日※1
・WEBSHOPの注文履歴
・会員ID
・メールマガジンの送付希望※1
・登録店舗※1
・DM送付(登録店舗からのみ)※1
【ケース3】
(1)期間
2019年5月14日~2019年5月20日
(2)個人情報が流出した可能性のあるお客様
上記期間中に「10mois WEBSHOP」から転送された偽決済ページにおいてクレジットカード情報を入力されたお客様
件数:最大30件
※正規の決済に進まず、偽決済ページのみに入力されたお客様の情報並びにクレジットカード情報の特定はできておりません。
(3)流出した可能性のある情報
・クレジットカードのカード会員名
・クレジットカードのカード番号
・クレジットカードの有効期限
・クレジットカードのセキュリティコード番号

引用元 有限会社フィセル

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-1(第20条)安全管理措置 システム管理(ソフト更新)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?

■ 推奨対策

対策:

情報漏洩していた可能性がある期間が長いのか、情報の保有期間が長いのか判然としないが、いずれにしても不正アクセスを即日検知し、即日対策がとられていないことから、監視も対策も甘かったと考えられる。

具体例:

システムを利用し、顧客から個人情報を入力させる仕組みを運用するためには、常に、厳重な不正アクセス対策が必要である。しかし、事業者として重大かつ当然とされることに綻びが生じ、個人情報漏洩に至ってしまうのは、事業者側の管理不足、対策不足、力不足のそしりを免れない、
個人情報漏洩された顧客への影響は、金銭的な被害に留まらない被害を生むことがあるので、事業者として自分ができる最大値の対策、ではなく、同業他社が行っているレベルを参考に対策を講じる必要がある。
同時に従業者のスキルアップにも投資が必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。