「東京女子大学購買センター Web Shop」に不正アクセス、カード情報含む個人情報流出の可能性

株式会社アイビー・シー・エスは1月18日、同社が運営する「東京女子大学購買センター Web Shop」に第三者からの不正アクセスがあり、個人情報が漏えいした可能性が判明したと発表した。なお同社は、2020年10月7日に、同社が運営する「青山学院購買会通販サイト」に対し第三者からの不正アクセスによるカード情報を含む個人情報漏えいの可能性について公表している。

これは2020年5月12日に、同社に対し一部のクレジットカード会社から同社が運営する別サイトを利用した顧客のカード情報の漏えい懸念について連絡があり、翌13日に同社が運営する「東京女子大学購買センター Web Shop」での商品販売を停止、第三者調査機関による調査を開始、6月29日に調査機関による調査が完了、それを踏まえ同社にて追加調査を実施したところ「東京女子大学購買センター Web Shop」に会員登録を行った、または商品の注文を行った顧客の個人情報に不正アクセスが可能であったことを確認したというもの。

同社によると、クレジットカード情報の不正取得に繋がる不正プログラム等の証跡は確認されていないが、カード会社と協議を重ねた結果、顧客の決済時に偽の決済フォームへ誘導しカード情報を不正に取得するプログラムが当該サイトに仕掛けられていた可能性があると判断し、カードを利用した顧客に注意喚起を行うこととした。

流出した可能性がある個人情報は以下の通り。

・個人情報（クレジットカード情報除く）
2017年3月4日から2020年9月16日の期間に「東京女子大学購買センター Web Shop」にて会員登録を行った、または商品注文を行った顧客の会員情報367 件、注文情報577 件。
会員情報の項目：氏名、会社名、住所、メールアドレス、電話番号、FAX番号、性別、職業、生年月日
注文情報：氏名、会社名、メールアドレス、電話番号、FAX番号、性別、職業、生年月日、住所、届け先情報（氏名、会社名、電話番号、FAX番号、住所）

・クレジットカード情報
2019年6月25日から2020年5月12日の期間中に「東京女子大学購買センター Web Shop」にてカード決済を行った顧客162名のカード情報（名義、番号、有効期限、セキュリティコード）。

同社では対象の顧客に対し、別途メールにて個別に連絡を行う。

同社では既に、カード会社と連携し流出した可能性のあるカードによる取引のモニタリングを継続して実施し不正利用の防止に努めているが、顧客に対してもカードの利用明細に身に覚えのない請求項目がないか確認するよう注意を呼びかけている。

同社では2020年8月31日に、監督官庁である個人情報保護委員会に報告を、所轄警察である渋谷警察署に被害申告を行っている。

同社では今後、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、既存のサイトは閉鎖しセキュリティが強固なプラットフォームを使用した新サイトでの運営を行い再発防止を図るとのこと。