新生銀行と新生フィナンシャル、業務委託先に誤って顧客の個人情報を提供

　株式会社新生銀行と新生フィナンシャル株式会社は9月27日、同行らの複数の業務委託先等にWeb 解析や広告媒体事業に関するデータ提供をするにあたり、一部顧客の個人情報が含まれることが判明したと発表した。

　 これは9月3日に、新生銀行にてWeb 解析を目的に業務委託先等のうち1社から還元を受けたデータを検証していた際に、新生銀行グループである株式会社アプラスから提供したデータにIDとパスワードが含まれていたことが発覚し、新生銀行と新生フィナンシャルでも調査を進めていたところ、複数の業務委託先等へ提供したデータログの検証で、一部の顧客の個人情報が含まれていることが判明したというもの。

　データ提供した業務委託先等には、新生銀行または新生フィナンシャルとの間の委託契約に基づく業務委託先及びその再委託先、新生フィナンシャルに対して Web 解析のためのツールを提供する事業者、新生銀行並びに新生フィナンシャルが広告枠を購入している広告媒体事業者が含まれる。

　誤って提供されたデータは下記の3事案で、その概要と原因、提供した個人情報と件数は下記の通り。

1.「新生銀行カードローンエル」「レイク ALSA」会員向けメール配信停止ページ等で手続を実施したメールアドレス

新生銀行「新生銀行カードローンエル」：メールアドレス6,293件
新生フィナンシャル「レイク ALSA」：2,108件

原因：顧客に送信している各種案内メールに掲載するリンクから配信停止の手続きが実施された場合、配信停止手続きページの URL に顧客のメールアドレスが付帯され、業務委託先等に提供する設定となっていた。

2.「レイク ALSA」の新規契約者向け Web 契約手続ページで顧客（契約に至らなかった顧客含む）が入力した情報（新生フィナンシャル）

カード暗証番号、メールアドレス：54件
融資金振込先の金融機関口座情報（金融機関名、支店名、預金種別、口座番号、名義人カナ氏名）：37件

原因：本来は画面ページの URL のみを業務委託先等に提供すべきところ、顧客が契約手続ページでデータ入力後に画面の送信ボタンを押下せずにキーボード上のエンターキーまたは一部のスマートフォンのキーボード上の実行キーから実行した場合、入力情報を誤って業務委託先等に提供する仕様となっていた。

3.「レイク ALSA」の会員用ページにログインした顧客の会員情報（新生フィナンシャル）

会員番号またはカード番号、カード暗証番号、生年月日：2件

原因：現時点で原因特定に至っていない。

　新生銀行と新生フィナンシャルでは、暗証番号を誤提供した顧客についてカードの再発行による暗証番号の変更を案内を行う。

　新生銀行と新生フィナンシャルでは今後、調査内容を踏まえ有効な再発防止策を講じるとのこと。