(札幌通運公式HP)
概要
札幌市のロジネットジャパンの子会社である札幌通運が、サーバへの不正アクセスにより顧客のクレジットカードを含む個人情報が流出したことを発表しました。
つい先日にも旅行会社であるJTBによる大規模な情報漏えいが発表されたばかりの本件報告であるため、観光庁はこれら旅行会社の漏えい事件をうけ、「旅行業界情報流出事案検討会」を設置しました。
タイムライン
2016年3月4日(金)
札幌通運が、クレジットカード会社から情報流出の懸念について連絡を受ける。
2016年4月22日(火)
社内調査開始、第三者調査機関であるPayment Card Forensics株式会社へ調査を依頼。
2016年5月30日(月)
同調査機関より最終報告書を受領。
2016年6月6日(月)
所轄の警察や官庁へ報告。
2016年6月16日(木)
本件を発表。
原因
弊社の見解
不正アクセスの詳細発表がまだですが、クレジットカード決済を行っていたシステムの選定基準が十分でなかったかもしれません。また、システムの脆弱性対応が不十分であったとも考えられます。
被害
被害対象
2015年10月1日~2015年3月4日の間に「クラブゲッツ」でクレジットカード決済を利用した顧客の情報(2,519件)
2004年4月~6月もしくは2006年6月に同社へ問い合わせ、カード決済を利用した顧客の情報(203件)
漏えい情報
- 名前
- 住所
- 電話番号
- メールアドレス
- クレジットカード情報(番号・有効期限)
対応
札幌通運は該当顧客に対し、ダイレクトメールにて本件の案内を送付し、身に覚えのないクレジットカード利用がないかの確認をおこなうよう促す連絡をおこなったようです。また、各クレジット会社と協力し、本件該当顧客のカードモニタリングならびに、カード再発行時の手数料を無料にする対応をおこなっています。
加えて、本件に対するお問い合わせ窓口を設置する対応もとりました。
再発防止のため、インターネット上でのクレジットカード決済の停止、情報管理およびセキュリティのさらなる強化を徹底すると公言しています。
関連情報
札幌通運株式会社「不正アクセスによる『クラブゲッツ』お客様情報の流出について」(2016/06/16)(魚拓)
Traicy「「クラブゲッツ」利用者のカード情報など2,722件の個人情報が流出 サーバへの不正アクセスで」(2016/06/20)(魚拓)
観光庁「『旅行業界情報流出事案検討会』の設置について印刷用ページ」(2016/06/21)(魚拓)
