アスクルと千趣会が顧客情報の漏えい被害。配送委託先のクリーンテックスに不正アクセス
アスクルと千趣会は、配送業務を委託しているクリーンテックス・ジャパンが第三者による不正アクセスを受け、一部商品を購入した顧客の配送先情報が漏えいした可能性があると発表した。
アスクルと千趣会によると、クリーンテックス・ジャパンから7月14日、不正アクセスを受けたことと、一部商品を購入した顧客の情報が流出した可能性があるとの報告があった。
アスクル、千趣会ともに、流出した可能性があるのはクリーンテックスが直接消費者に配送する商品を購入した顧客の情報。
千趣会は、会員氏名(商品送付先の氏名)、千趣会独自の受注番号が最大4630件。対象者は2017年以降、千趣会からクリーンテックスの玄関マットを購入した顧客という。
アスクルの対象範囲は、「ASKUL」「ソロエルアリーナ」「LOHACO」で、2017年6月1日~2022年7月5日の期間中にクリーンテックスの商品を購入した顧客の配送先情報(届け先の 氏名、郵便番号、住所、電話番号、会社名)。対象件数は合計約4500件。
原因は悪意のある第三者からの社内サーバーへの不正アクセス。社内サーバーには商品の配送に必要な情報を格納していたという。現在、復旧作業および原因調査を行っており、現時点で個人情報の不正利用は確認されていない。
クリーンテックス・ジャパンも、自社のECサイトなどで購入した顧客情報も漏えいした可能性がある発表している。
7月8日朝に社内システムへのアクセスができないことを従業員が発見。調査を開始したところ、複数のサーバーでデータが不正に暗号化されていることを確認した。被害拡大を防止すため、不正アクセスを受けた可能性のある全てのサーバーへのアクセスを遮断。その後、社内全てのデバイスのウィルススキャンを実施し、安全性を確認したという。
外部に流出した可能性のある情報は、自社ECサイト、「楽天市場」「Amazon」「Yahoo!ショッピング」において、2016年5月11日~2022年7月7日までに注文のあった顧客情報(配送先の氏名、住所、電話番号、注文商品)で、件数は最大4万600件。
クリーンテックス・ジャパンは7月11日、所轄警察への届け出および個人情報保護委員会への報告を完了。また、該当顧客に対しては7月15日から順次、メールまたは郵送で連絡しているという。
なお、クリーンテックス・ジャパンは今回の事態を重く受け止め、これまで以上に厳重な情報セキュリティー体制の構築を図り、再発防止に取り組むとコメントしている。
一方、被害を受けた形となったアスクル、千趣会も今後、再発防止に向けてセキュリティーのさらなる強化、個人情報取り扱い業務における管理体制の厳重化、個人情報保護マニュアルの関係者への周知徹底、個人情報委託先への調査を見直すとしている。