ぼんち株式会社は10月10日、同社の事業部門である煎餅工房さがえ屋でパソコンの廃棄が適切に行われなかったことによる個人情報漏えいの可能性について発表した。
これは、同社で使用を終了したパソコンのデータ消去(物理破壊)を伴う廃棄処分のため、複数台のパソコンを外部の委託先業者に3月12日に引き渡したところ、そのうちのノートパソコン1台(ノートPC1)が4月26日にインターネットに短時間接続されたことを、同社のセキュリティ監視ツールが検知したというもの。
同社ではセキュリティ監視ツールの検知を6月2日に認識し、その後、委託先業者に詳細なヒアリングを継続的に行った結果、複数台のパソコンの廃棄状況が不明であることを9月1日に把握し、顧客の個人情報が漏えいした可能性が判明している。
同社の調査によると、ノートPC1以外にも、個人情報が保存されていたノートパソコン1台(ノートPC2)と、個人情報が保存されていなかったその他のノートパソコン2台について、委託先業者で適切に廃棄されたか確認できないことが判明している。なお、現時点でインターネットへの接続が検知されたのはノートPC1のみで、ノートPC2を含むその他のノートパソコンについては、インターネットに接続された事実は確認されていない。
同社では、パソコン廃棄の手順を社内で十分に周知できていなかったこと、委託先の選定および監督が不十分であったことが原因としている。
漏えいの可能性がある個人情報は下記の通り。
1.「煎餅工房さがえ屋」の直営店(本店、山形南店、S-PAL山形店、S-PAL仙台店)で商品を購入し、会員登録を行った11,900件の顧客の氏名、性別、年齢、電話番号、郵便番号、住所、メールアドレスを含む個人情報。
2.2021年12月に実施した「おこめショコラ」試食モニターに申し込みした26件の顧客の氏名、年齢、電話番号、郵便番号、住所、メールアドレス、Instagramアカウント情報を含む個人情報。
同社では対象となる顧客に対し、別途、書状で謝罪と案内を個別に連絡する。
同社では下記の再発防止策を実施するとのこと。
・委託先業者へのパソコン廃棄処分の委託停止および適切な委託先の選定・監督
・パソコンの廃棄手順の運用強化(受渡・破壊の証跡管理の厳格化、突合・点検の実施)
・情報資産の区分明確化と管理方法(使用・削除履歴管理等)の徹底
・全社員を対象とする個人情報の取り扱いに関する教育の再実施
