「jiggys-shop.jp」「crazy-ferret.jp」で顧客カード情報が漏洩か

同社によると、2月5日に決済代行会社から「jiggys-shop.jp」を利用した顧客のカード情報の流出懸念について連絡があり、同日中に同サイトでのカード決済を停止した。さらに、8日には「crazy-ferret.jp」についてもカード情報の流出懸念が判明し、同日中に同サイトでのカード決済を停止した。

9日にはサイト全体を停止し、第三者調査機関による調査を開始。調査は5月26日に終了し、2020年2月5日～21年2月8日に「jiggys-shop.jp」「crazy-ferret.jp」でクレジットカード情報を新規で入力した顧客のカード情報が漏洩した可能性があることが判明した。

両サイトは外部のECプラットフォームと決済代行会社を利用しているため、同社は顧客のクレジットカード情報は保存していない。今回、利用するECプラットフォームが管理するサーバーに不正アクセスがあり、サイトを利用する顧客がカード情報を入力した際にそれを取得し、外部に送信するプログラムが不正に配置されたことが確認された。

この間にクレジットカード情報を入力したのは「jiggys-shop.jp」が2312人、「crazy-ferret.jp」が4004人。うち、不正利用された可能性があるのは618人（3月16日時点）で、流出情報はカード名義人名、カード番号、有効期限、セキュリティコード番号。該当者にはメールで個別に連絡するとしている。

システムのセキュリティ対策と監視体制を強化

個人情報の流出懸念から公表に至るまで5か月以上を要したことについて同社は、決済会社と協議し、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断。公表は調査会社の調査結果とカード会社との連携を待ってから行うことにしたという。

同社は事態を厳粛に受け止め、システムのセキュリティ対策と監視体制の強化を行い、クレジット業界のグローバルセキュリティ基準「PCI DSS」に準拠した対策に取り組むとしている。ただ、「jiggys-shop.jp」「crazy-ferret.jp」については、再開の予定はないとした。

また、監督官庁である個人情報保護委員会には5月26日に報告。所轄警察署にも同日に被害申告をしており、捜査に協力していく考えを示している。