九州旅客鉄道株式会社は4月12日、同社が運営する「ななつ星 in 九州」の関連商品を販売する「ななつ星 Gallery」(https://nanatsuboshi-gallery.jp)に対し外部からの不正アクセスがあり顧客のカード情報を含む個人情報の流出が判明したと発表した。
これは2019年3月11日午後3時頃に、決済代行会社から同サイトで利用されたクレジットカード情報の流出懸念についての連絡があり判明したもので、同社ではサイトの保守・管理を委託しているシステム会社へ依頼し同日中にサイトを閉鎖し、第三者調査機関「P.C.F. FRONTEO 株式会社」に調査を依頼した。
3月28日に提出された調査報告書によると、同サイトのシステムの一部の脆弱性を狙った第三者の不正アクセスにより、サイト開設から閉鎖までに同サイトを利用した顧客のクレジットカード情報流出の記録が確認され、加えて同サイトで登録されたその他の個人情報も流出した可能性が高いことが判明した。
流出した可能性があるのは2013年10月5日(サイト開設日)から2019年3月11日(サイト閉鎖日)に同サイトを利用した顧客の個人情報最大7,996名でその内訳は下記の通り。なお、クルーズトレイン「ななつ星 in 九州」車内で顧客が利用したクレジットカードは違うシステムを利用しているため漏えいの事実は確認されていない。
1.会員登録した顧客(カード情報登録あり):最大3,086件(2,816名)
・カード番号、有効期限、セキュリティコードが流出
・氏名、住所、郵便番号、電話番号、FAX番号、性別、生年月日、メールアドレス、職業、パスワード(暗号化処理済)、秘密の質問の答え(暗号化処理済)について流出の可能性が高い
2.会員登録した顧客(カード情報登録なし):最大3,148名
・氏名、住所、郵便番号、電話番号、FAX番号、性別、生年月日、メールアドレス、職業、パスワード(暗号化処理済)、秘密の質問の答え(暗号化処理済)」について流出の可能性が高い
3.海外の顧客:最大36名
・氏名、住所、郵便番号、電話番号、メールアドレスについて流出の可能性が高い
4.「ななつ星in九州」に乗車し後日配送にて配送限定品を購入した顧客:最大1,288名
・氏名、住所、郵便番号、電話番号について流出の可能性が高い
5.会員登録した顧客、および「ななつ星in九州」に乗車した顧客が配送限定品の送り先として指定した顧客:最大708名
・氏名、住所、郵便番号、電話番号、FAX番号ついて流出の可能性が高い
同社では3月28日に、個人情報保護委員会、九州運輸局、福岡県警察本部へ報告を行い、決済代行会社、カード会社にも報告書の内容を共有した。
同社では4月12日より、個人情報が流出した可能性のある顧客に対しメール及び郵便にて謝罪と経緯について書面を送付する。またカード会社と連携し、流出した可能性のあるカードによる取引のモニタリングの強化を継続して実施し不正利用の防止に努める。
同社では、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止策の構築と個人情報保護体制の一層の強化に取り組む。
これは2019年3月11日午後3時頃に、決済代行会社から同サイトで利用されたクレジットカード情報の流出懸念についての連絡があり判明したもので、同社ではサイトの保守・管理を委託しているシステム会社へ依頼し同日中にサイトを閉鎖し、第三者調査機関「P.C.F. FRONTEO 株式会社」に調査を依頼した。
3月28日に提出された調査報告書によると、同サイトのシステムの一部の脆弱性を狙った第三者の不正アクセスにより、サイト開設から閉鎖までに同サイトを利用した顧客のクレジットカード情報流出の記録が確認され、加えて同サイトで登録されたその他の個人情報も流出した可能性が高いことが判明した。
流出した可能性があるのは2013年10月5日(サイト開設日)から2019年3月11日(サイト閉鎖日)に同サイトを利用した顧客の個人情報最大7,996名でその内訳は下記の通り。なお、クルーズトレイン「ななつ星 in 九州」車内で顧客が利用したクレジットカードは違うシステムを利用しているため漏えいの事実は確認されていない。
1.会員登録した顧客(カード情報登録あり):最大3,086件(2,816名)
・カード番号、有効期限、セキュリティコードが流出
・氏名、住所、郵便番号、電話番号、FAX番号、性別、生年月日、メールアドレス、職業、パスワード(暗号化処理済)、秘密の質問の答え(暗号化処理済)について流出の可能性が高い
2.会員登録した顧客(カード情報登録なし):最大3,148名
・氏名、住所、郵便番号、電話番号、FAX番号、性別、生年月日、メールアドレス、職業、パスワード(暗号化処理済)、秘密の質問の答え(暗号化処理済)」について流出の可能性が高い
3.海外の顧客:最大36名
・氏名、住所、郵便番号、電話番号、メールアドレスについて流出の可能性が高い
4.「ななつ星in九州」に乗車し後日配送にて配送限定品を購入した顧客:最大1,288名
・氏名、住所、郵便番号、電話番号について流出の可能性が高い
5.会員登録した顧客、および「ななつ星in九州」に乗車した顧客が配送限定品の送り先として指定した顧客:最大708名
・氏名、住所、郵便番号、電話番号、FAX番号ついて流出の可能性が高い
同社では3月28日に、個人情報保護委員会、九州運輸局、福岡県警察本部へ報告を行い、決済代行会社、カード会社にも報告書の内容を共有した。
同社では4月12日より、個人情報が流出した可能性のある顧客に対しメール及び郵便にて謝罪と経緯について書面を送付する。またカード会社と連携し、流出した可能性のあるカードによる取引のモニタリングの強化を継続して実施し不正利用の防止に努める。
同社では、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止策の構築と個人情報保護体制の一層の強化に取り組む。
