不正アクセスでペイメントアプリケーションが改ざん

　同社によると、2月8日に一部のクレジットカード会社から、サイトを利用した顧客のクレジットカード情報の漏えい懸念について連絡を受けた。同日中にクレジットカード決済を停止するとともに、第三者調査機関による調査も開始した。

　調査は4月15日に完了。「カタログギフトのハーモニック」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスがあり、ペイメントアプリケーションの改ざんが行われていた。これにより、2020年11月14日～21年11月11日の期間に、サイトから購入した顧客のクレジットカード情報が漏洩。一部のクレジットカード情報が不正利用された可能性と、個人情報の漏洩の可能性があることを確認した。

クレカ情報の漏えいは最大2万8700件に

　クレジットカード情報漏洩の可能性があるのは、最大2万8700人で、情報はクレジットカード名義人名、カード番号、有効期限、セキュリティコード。また、個人情報漏洩の可能性があるのは、20年11月14日までの間にサイトから商品を購入または会員登録した顧客のすべてで、最大15万236人という規模。漏えいした可能性のある情報は、氏名、住所、電話番号、メールアドレス、性別、生年月日。

　さらに、「名入れ商品用」に入力した場合は、商品の名入れに必要な情報も含まれ、最大5445人が対象。情報は子どもの氏名、性別、生年月日、出産時の体重、身長だという。

　今回の不正アクセスについて、同社は個人情報保護法に則り、認定個人情報保護団体の日本情報経済社会推進協会（JIPDEC）に5月16日に報告。また、地元の警察にも5月10日に被害を申告している。

システムのセキュリティ対策と監視体制を強化

　漏洩懸念から公表に至るまでに時間を要したことについては、決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断。発表は調査機関の調査結果、およびクレジットカード会社との連携を待ってから行うこととした、としている。

　同社では該当する顧客にメールや書状で連絡するとともに、クレジットカード会社と連携し、漏洩した可能性のあるカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めている。

　また、事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図るとしている。改修後の「カタログギフトのハーモニック」のクレジットカード決済再開日は決定次第、改めてWEBサイト上で報告する。