東急不動産株式会社と東急不動産SCマネジメント株式会社は2月25日、キューズモールフレンズポイントカード会員の個人情報の漏えいについて発表した。画像ファイルで公開している。
これは東急不動産と東急不動産SCマネジメントが保有するキューズモールフレンズポイントカード会員の個人情報を保管している会員情報システムにて出力される会員情報を含む一部のファイルが、本来は両社内部関係者のみがアクセスできる設定となっているべきところ、外部からもアクセスできる状態であったことが1月29日に発覚したというもの。
対象のファイルは2024年10月20日から2025年1月31日の間に生成されたもので、特定のURLにアクセスした場合、当該ファイルをダウンロードできる状態となっていた。なお、当該ファイルは生成後3日間で自動消去される設定であった。
漏えいした可能性があるのは、一部のキューズモールフレンズポイントカード会員の氏名(漢字/フリガナ)、生年月日、会員番号、利用施設、利用店舗、利用日時、利用・付与ポイント数、累計ポイント、失効予定ポイント。
両社によると2024年10月20日に、委託先を通じて実施した同システムの変更の際に、当該ファイルへのアクセス制限の設定が不適当であったことが原因。
両社では本件発覚後に、当該ファイルの外部アクセスを不可とする設定に変更するとともに、同システムのその他のストレージについても点検を実施し、外部アクセス制限が適切に設定されていることを確認している。
両社では個人情報を含むデータベース等について、適切なアクセス制御が実施できるよう厳重にチェックを行い、特に会員情報システムについては、サーバメンテナンス後のアクセス制限の設定状況の確認を再度徹底するとともに、アクセス制限の設定状況の定期的な点検を実施するとのこと。
