個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに（イプサ）

イプサは、「イプサ公式オンラインショップ」において2016年11月に発生した個人情報漏えい事故について、情報流出の原因や被害範囲、再発防止策を発表した。

インシデント・事故インシデント・情報漏えい

2017.2.1 Wed 8:00

株式会社資生堂の子会社である株式会社イプサは1月31日、同社が運営する通販サイト「イプサ公式オンラインショップ」において2016年11月に発生した個人情報漏えい事故について、情報流出の原因や被害範囲、再発防止策を発表した。発表当時、同サイトのWebサーバにSSIの脆弱性があり、それを悪用しバックドアを仕掛けられたこと、結果としてサイトに登録されていたクレジットカード情報56.121件を含む顧客の個人情報421,313件が流出した可能性があるとしていた。

その後、決済代行会社との連携による調査の結果、クレジットカード情報流出の可能性がないとは断定できない9,699名、個人情報流出の疑いのある150名の存在が判明、それぞれ個別に連絡したという。また、外部の情報セキュリティ専門企業（株式会社ラック）の参画により実施した詳細調査の結果、3つの技術的な問題と2つの管理体制の問題が明らかになった。

技術的な問題は、SSIに起因する脆弱性の認識が甘く、十分な対策が取られていなかったこと、同サイトのセキュリティ対策がファイアウォールのみであったこと（他のセキュリティ対策も導入済みであると誤認していた）、本来はサイト内にクレジットカード情報を保持しない設計であったのに、デバッグモードのまま運用されており、決済処理のログが残る状態になっていたことが判明した。

管理体制の問題は、同社内のサイト管理に関する責任部門が不明確であり、また委託先であるソフトウェア開発会社に対する管理監督や意思疎通が十分ではなく、技術情報の継承や正しい状況把握ができていなかった。そして、サイトの構築時は開発計画のみ共有しており、システムの詳細については確認されていなかった。システム稼働後の監査においても、毎年実施していたものの口頭や紙面による報告ベースで、詳細な内容確認はできていなかったという。同社では、これらの問題点への対策も発表している。

《吉澤亨史（ Kouji Yoshizawa ）》