「IVYCS FEE PAYMENT」へ不正アクセスでカード情報流出の可能性、東京女子大購買センターや青学購買サイトも被害に

株式会社アイビー・シー・エスは1月18日、同社が運営する「IVYCS FEE PAYMENT（青山学院会費）」への不正アクセスによる個人情報漏えいの可能性について第2報を発表した。同社では10月8日に「IVYCS FEE PAYMENT」について、カード情報以外の漏えいを第1報として公表、また2020年10月7日には、同社が運営する「青山学院購買会通販サイト」に対する第三者からの不正アクセスによるカード情報を含む個人情報漏えいの可能性について、2021年1月18日には、同社が運営する「東京女子大学購買センター Web Shop」への不正アクセスによるカード情報を含む個人情報漏えいの可能性について発表している。

これは2020年5月12日に、同社に対し一部のクレジットカード会社から同社が運営する別サイトを利用した顧客のカード情報流出懸念について連絡があり、同日中に同社が運営する「IVYCS FEE PAYMENT」での年会費集金サービスを停止、第三者機関による調査を実施、調査機関による調査が同年6月29日に完了後も、その結果を踏まえて同社にて追加調査を行ったところ、「IVYCS FEE PAYMENT」にて会員登録または会費決済を行った顧客の個人情報に不正アクセスが可能であったことを確認したというもの。

同社の調査によると、クレジットカード情報の不正取得につながる改ざんや不正プログラム等について、その証跡は確認できなかったが、カード会社と協議した結果、他サイトでカード情報流出が疑われる2019年6月25日から2020年5月12日に「IVYCS FEE PAYMENT」でカード決済を利用した顧客に注意喚起を行うこととした。

流出した可能性があるのは以下の通り。

1.個人情報（クレジットカード情報除く）
2017年6月22日から2020年9月16日の期間に「IVYCS FEE PAYMENT」で会員登録を行った50件の顧客と会費決済を行った顧客91件の個人情報。
・会員情報：氏名、会社名、住所、メールアドレス、電話番号、FAX番号、性別、職業、生年月日
・払込情報：氏名、会社名、メールアドレス、電話番号、FAX番号、住所、届け先情報（氏名、会社名、電話番号、FAX番号、住所）

2.2019年6月25日から2020年5月12日の期間中に「IVYCS FEE PAYMENT」にてカード決済を行った顧客48名のカード情報（名義、番号、有効期限、セキュリティコード）。

同社では既に、カード会社と連携し流出した可能性のあるカードによる取引のモニタリングを継続して実施し不正利用の防止に努めているが、顧客に対してもカードの利用明細に身に覚えのない請求項目がないか確認するよう注意を呼びかけている。

同社では2020年8月31日に、所轄警察である渋谷警察署に被害申告を、監督官庁である個人情報保護委員会に報告を行っている。

同社では今後、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、既存サイトを閉鎖し、セキュリティが強固なプラットフォームを使用した新サイトでの運営を行い再発防止に努めるとのこと。