昨年10月にサイト終了も、終了前に不正利用の形跡

　TOMSストアの運営は2022年8月31日に販売を終了し、利用客の問い合わせ対応期間を経て、同年10月1日にサイトを閉鎖しているが、同社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じていきたいとしている。

　同社によると、22年11月29日に一部のクレジットカード会社から、TOMSストアを利用した顧客のクレジットカード情報の漏洩懸念について連絡を受けた。これを受け、不正アクセスや改ざんの有無を確認するため、同年12月15日に第三者調査機関による調査を開始し、23年1月11日に調査が完了した。

　その結果、21年4月22日～22年8月31日の期間にTOMSストアで商品を購入した顧客のクレジットカード情報が漏洩した可能性があり、また、一部のクレジットカード情報が不正利用された可能性があること、TOMSストアにおける会員登録や取引の際に顧客が入力したクレジットカード情報以外の個人情報についても漏洩した可能性があることを確認した。

システムの一部の脆弱性をついた不正アクセスが発生

　TOMSストアが使用していたシステムの一部の脆弱性を突いて、第三者による不正アクセスが発生し、第三者によってデータを不正送信するツールが設置されていたためだった。

　クレジットカード情報漏洩の可能性があるのは3840件で、内容は名義人名、カード番号、有効期限、セキュリティコード。また、個人情報漏洩の可能性があるには3万6311件で、商品の発送先として指定するなどした氏名や住所、電話番号、メールアドレス、性別、生年月日、FAX番号、会社名など。該当者にはメートと書状で個別に連絡するとしている。

　22年11月29日の漏洩懸念から公表に至るまで、時間を要したことについて同社は、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠と判断。発表は調査会社の調査結果と、カード会社との連携を待ってから行うことにしたという。

サイトで利用するシステムのセキュリティ対策と監視体制を強化

　TOMSストアは22年10月1日にサイトを閉鎖しており、新たな情報漏洩の懸念はないが、同社はこのたびの事態を厳粛に受け止め、運営するウェブサイトの運営管理状況を改めて確認するとともに、これらのサイトで使用するシステムのセキュリティ対策と監視体制の強化に努め、再発防止を図っていく考えを示している。

　今回の不正アクセスについて、監督官庁である個人情報保護委員会には22年11月30日と23年1月26日に適用法令に従って報告済み。また、所轄警察署には23年2月1日に相談をしており、今後捜査にも全面的に協力していくという。