株式会社Custodiem(旧称FTX Japan株式会社)は4月10日、2025年8月22日に公表したクラウド環境の設定の誤りによる顧客情報漏えい可能性について、続報を発表した。
Custodiem及びQuoine Pte. Ltd.(FTXグループの企業)では、Custodiemが買収された後の顧客データの一部の移転作業の過程で、海外の業務委託先によるクラウド環境の誤設定が原因で、過去に適切なアクセス制限がなされていない状態となっていた期間があったことが判明していた。
その後の追加調査で、漏えいの可能性があった情報項目や期間が2025年8月22日に公表したものよりも広範だったことが判明したという。対象となる情報は下記の通り。
・対象となる顧客
2014年7月5日以降に、同社の前身であるFTX Japan株式会社、さらにその前身であるQUOINE株式会社で口座を開設した約245,000名の顧客
・漏えいの可能性があった期間
2024年10月17日から2025年8月6日
・漏えいの可能性があった帳票等の作成期間
2017年4月1日から2025年8月6日
・漏えいの可能性があった情報
2017年4月1日から2025年8月6日までの期間に作成された取引報告書兼証拠金受領通知書、取引残高報告書(月次)、年間取引計算書及び先物取引に関する支払調書(暗号資産デリバティブ取引用)等の法定帳簿
上記書面の管理に使用されていた顧客ID及びメールアドレス
上記書面に記載されていた氏名、住所、口座番号、現物取引及び証拠金取引に関する履歴情報(売買履歴、証拠金を含む法定通貨・暗号資産の残高、損益、入出金及び送付・預入の明細等)
先物取引に関する一部の支払調書(暗号資産デリバティブ取引用)に記載されていたマイナンバー(対象人数:1,262名)
同社では対象となる顧客に順次、個別に案内を行う。
同社では本件の原因として、同社が買収された後に実施した売主グループ側のQUOINE PTE. LTD.(シンガポール法人)のシステムから同社システムへの顧客データ移転等の作業の過程で、海外の業務委託先によるクラウド環境の設定の誤りにあったことを挙げ、その背景として、同社の外部委託先管理及び変更管理(設定変更に関する統制・監督)の実効性が十分とはいえなかったこと、及び社内規程等の遵守態勢が不十分であったことが影響したものと認識している。
同社では再発防止策として、外部業務委託先によるクラウド環境設定の変更を原則禁止するとともに、外部専門家の助言を受けながら業務委託先の管理・監督体制を厳格化する。また、人的ミスが発生した場合でもシステム的に防止・検知される技術的統制の導入を進めるとともに、社内規程の整備、変更管理態勢の徹底、報告体制の改善等、社内規程等の遵守態勢全般のガバナンス強化を行うとのこと。
