事故から学ぶ

会員情報の流出についてのお詫びとご説明 株式会社オヴァールリエゾン ショコラティエ パレ ド オール

事故概要

業種 民間企業
発生時期 2021/6/4
漏えい人数 4342
事故概要

この度、株式会社オヴァールリエゾン ショコラティエ パレ ド オール(以下「弊社」といいます。)のオンラインショップの会員様4342名の会員情報が他の会員様に流出したことが確認されましたので、ご報告申し上げます。

1 会員情報の流出の経緯と詳細のご説明
① 6月4日(金)午前11時、弊社より、新サイトへの移転に関するご案内のメールをメールマガジンの読者様計9200名に送信いたしました。
② 6月4日(金)午後4時38分以降、メール本文のURLを利用して移行手続画面にアクセスし、ログインした4名のメールマガジンの読者様からのご指摘により、1人の読者様のメールごとに他の1名の読者様(会員登録している方)のお名前、住所、電話番号、FAX番号、メールアドレスが、ログイン後に画面上で閲覧できる状態となっていることが判明いたしました(4件分)。ご指摘をいただきまして、直ちに弊社内におけるメールマガジン読者様のデータを確認し、該当する箇所を修正いたしました。
③ 6月5日(土)、21588名のオンラインショップの会員様に新サイトへの移行手続に関するURL付のメールを発信いたしました。
④ 6月5日(土)午前11時52分、16名のオンラインショップの会員様からのご指摘により、弊社内におけるオンラインショップの会員様データの管理に不備があり、ご本人とは異なる別の会員様のお名前とID(1件のメールにつき1名分)が記載されたメールがオンラインショップの会員の皆様に送信されていたことが判明いたしました。
また、併せて、メール本文のURLを利用して移行手続画面にアクセスし、ログインすることにより、1人の会員様のメールごとに当該他の1名の会員様のお名前、住所、電話番号、FAX番号、メールアドレスが、ログイン後に画面上で閲覧できる状態となっていることが判明いたしました(1423件分)。
ご指摘をいただきまして、同日17時より改めて全員の会員様にメールを配信し、お詫びとメール自体の削除を依頼いたしました。
⑤ 以降、6月5日(土)から6月7日(月)にかけて、社内調査及びお客様からのお問い合わせへの対応を実施しました(お電話及びメール)。上記事態が判明したのが週末であり、新サイトの運営業者と連絡を取ることができなかったことも相俟って、事態の把握に時間を要する結果となりました。
⑥ 上記②④のとおり、計20名の方から他の1名の会員様のお名前、住所、電話番号、FAX番号、メールアドレスが、ログイン後に画面上で閲覧できる状態となっている旨のご指摘をいただきましたことを踏まえ、6月8日(火)午前11時01分、メールに記載のURLからの新サイトへの移行手続画面へのアクセスを停止する措置を講じました。
⑦ 6月8日(火)夕方、弊社ホームページにお詫びのお知らせを掲載いたしました。
⑧ 6月10日(木)午前、メール削除のお願いのメールをオンラインショップの会員様に一斉発信するにあたり、このうち計3700名に対し、800名のグループ4つと500名のグループ1つに分けて一斉送信しました。その際、弊社スタッフが、一斉送信するグループ内の全員のメールアドレスを「Cc」欄に記載したため、相互に同一グループ内の他の全員のメールアドレスを把握できる状態となったことが会員様からのご指摘により発覚しました。
⑨ 6月11日(金)、弊社ホームページに代表である私よりお詫びを掲載いたしました。
⑩ 調査の結果、延べ5127件分(上記②の4件+上記④の1423件+上記⑧の3700件=5127件)の会員情報が他の会員様に流出してしまいました。なお、5127件の中には、上記②④⑧にて重複されている方が785名いらっしゃいますことから、人数といたしましては4342名となります。
2 情報流出の原因
(1)この度の一連の事象は、ひとえに弊社の情報管理体制の不備が重なり合って発生したものと認識しております。
(2)社員に対する情報管理教育を徹底していなかったため、①弊社内におけるオンラインショップの会員様データの管理に不備があり、ご本人とは異なる別の会員様の情報が記載されたメールを会員の皆様に送信してしまうというデータ管理上のミスが発生し、②URLを利用して移行手続画面にアクセスすることにより、他の1名の会員様の情報が画面上で閲覧できる状態となるというデータ管理上のミスが発生してしまいました。
(3)また、会員様にメールを送信する際に、アドレスや送信方法に誤りがないかを複数の社員でチェックする等の運用を徹底していなかったため、一斉送信により、会員様のメールアドレスを他の会員様が把握できる状態になるというメール送信に伴うミスが発生してしまいました。
3 再発防止策
(1)複数のお客様へのメール送信時は、メール送信前に2名の社員で送信内容を相互に確認し合う体制とします。
(2)お客様へのご案内メールの送信はメーラーのbccを利用することを中止します。メールをお送りする際にはオンラインショップ運営サイト内のメール配信機能のみを使用することといたします。
(3)専門家の助言を受け、社内の情報管理体制を再構築いたします。
(4)専門家の助言を受け、社内研修を通じて社員の情報管理教育を徹底し、メール送信時の取り扱いを厳格化いたします。
(5)上記の方法を基軸に、より良い情報管理体制の在り方を継続的に追求し、随時、再発防止策を更新し、実行してまいります。
4 お詫びの品
この度は会員の皆様に多大なるご迷惑をお掛けし、誠に申し訳ございませんでした。誠に勝手ながら、JCBギフト券(1000円)を会員情報が流出した可能性のある4342名の会員の皆様お一人様につき1枚ご送付させていただきます。

引用元 株式会社オヴァールリエゾン ショコラティエ パレ ド オール

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

’20-1(第20条)安全管理措置システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

クラウドサービスだからといって不正アクセスを完全防御できるわけではない。重要資産を扱うサービス会社は金になるため最新の手口で集中的に攻撃を受けている。攻撃を受け続けていることへの防御策と、攻撃を突破されたさいの対応策は別物であり、特に後者は被害を最小限度に抑えるために利便性に制限があっても暗号化などの対策は必須である。選択の余地はない。

具体例:

クラウドサービスだからといって安心できない。
不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。