スターバックスコーヒージャパン株式会社は10月3日、9月19日に公表したBlue Yonder社の提供サービスへの不正アクセスによる同社従業員の個人情報漏えいについて、続報を発表した。
スターバックスが利用しているBlue Yonder社 提供のSaaSサービス「Work Force Management」(シフト作成ツール)では、外部からの不正アクセスによるサイバー攻撃が発生したことで、Blue Yonder社が使用しているデータ転送システムからスターバックスの個人情報の一部漏えいが判明していた。
さらにスターバックスでは、Blue Yonder社から9月9日に提供されたデータ内から新たに数字の羅列を発見し、該当情報が従業員IDであることを9月24日に判明している。
新たに漏えいが判明したのは、スターバックス及びスターバックスとライセンス契約を締結している取引先の従業員(直営店舗とライセンス店舗の正社員、アルバイト)約40,700名分の従業員ID。
なお、従業員IDの漏えいは、9月19日公表分の約31,500名と今回公表の約40,700名を合わせ約72,200名分で、追加で漏えいが判明した情報には、シフト作成ツールに通常保管される氏名、生年月日、職位、契約開始日は含まれていない。
スターバックスによると、従業員IDは社内の識別番号で、他の情報と組み合わせることにより悪用される可能性がゼロではないことから、10月1日から対象者に報告と謝罪を進めている。
スターバックスではBlue Yonder社に対しセキュリティ体制の抜本的強化を要請するとともに、緊密に連携しながら再発防止に取り組む。また、Blue Yonder社では外部専門家の協力を得て、監視体制の強化、最新のシステム修正や脆弱性対策の実装など、不正アクセスを防ぐ仕組みを強化しているとのこと。
