Brewtope株式会社は9月25日、同社が提供するクラフトビールの定期便サービス「Otomoni」の顧客情報が漏えいした可能性について発表した。
これは、同社サービスの個人情報の保存先として利用しているクラウドサーバのアクセスキーがGitHub上で公開されていることが判明したというもので、8月13日にクラウドサービスの運営法人から報告があり、発覚した。アクセスキーを利用することで、クラウドサーバ上にある「Otomoni」を利用した顧客や取引関係にある法人・事業者の担当者の個人情報にアクセス可能な状態であったという。
第三者がアクセス可能な状態になっていたのは、2024年1月13日から2025年8月13日までの期間で、アクセスキーの取り扱いに関するルールの徹底や、管理運用が適切ではなかったことなど、管理体制に問題があったことが原因。
同社およびクラウドサービスの運営法人による調査の結果、当該情報が保管されていたクラウドサーバへのアクセス履歴から第三者による不正アクセスは確認できないものの、完全には否定できない状況とのこと。
対象となるのは、2019年10月から2025年8月13日までの間に同社サービス「Otomoni」を利用した顧客の個人情報(氏名、住所、電話番号、メールアドレス、生年月日、注文情報、決済情報(一部カード番号下4桁・有効期限))と、同社と取引関係にある法人・事業者の担当者に関する情報(企業名、担当者氏名、配送情報、メールアドレス、電話番号)で合計20,776件。
同社では9月25日から、対象者にメールにて個別に謝罪と案内を行う。
同社および同社委託先では今後、改めて顧客の個人情報取り扱いに関する管理を徹底し、再発防止に向けた取り組みを進めるとのこと。
