クレカ情報が不正利用された可能性も

　同社によると、5月2日に一部のクレジットカード会社から、同社のECサイトを利用した顧客のクレジットカード情報が漏洩しているかもしれないと連絡を受けた。サイトは、連絡を受ける以前の4月17日に新システムへ移行しており、不正アクセスの対象となった旧システムとは完全に切り離されている状態だった。
　しかし、あらゆる危険性を考慮し、安全の確認が取れるまで新システムによるECサイトも閉鎖することを決め、5月9日に自社サイトでのカード決済を停止し、サイト内の全てのデータの保全を実施した。同時に、第三者調査機関による調査も開始した。
　6月30日に調査機関による調査が完了。2021年3月24日～23年4月17日の期間に同社のサイトで購入した顧客のクレジットカード情報が漏洩した可能性と、うち一部の顧客のクレジットカード情報が不正利用された可能性があることを確認した。また、過去にサイトで個人情報を入力した顧客の個人情報も漏洩した可能性を確認した。
　原因は、サイトのシステムの一部に脆弱性があり、これをついた第三者が不正にアクセスして、ペイメントアプリケーションの改ざんを行ったことによるものだった。

倉敷市・児島警察署に被害報告

　クレジットカード情報漏洩の可能性がある顧客は、この間に決済した顧客8655人。漏洩の可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
　また、サイトオープンから23年4月17日までにサイトを利用した顧客4万869人について、漏洩した可能性のある情報は、名前、フリガナ、郵便番号、住所、電話番号、メールアドレス、FAX番号 (任意入力項目)、職業(同)、会社名 (同)、性別(同)、生年月日(同)、届け先情報(同)、購入履歴。
　5月2日の漏洩懸念の把握から案内まで、時間を要したことについて同社は、本来なら疑いがある時点で連絡し、謝罪と注意喚起すべきとも考えられたが、クレジットカード会社との協議も踏まえ、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が最善と判断したという。
　同社は監督官庁である個人情報保護委員会には5月2日と7月10日に適用法令に従って報告済み。７月13日には警察署（倉敷市・児島警察署）に被害報告をしている。
　同社はこのたびの事態を厳粛に受け止め、新システムへ移行した今後も調査結果を踏まえてシステムのセキュリティ対策と監視体制を強化し、再発防止を図っていくとしている。サイトの再開日については決定次第、改めてWebサイト上で告知する。

　▽関連記事
　カード情報流出事件、1‐3月は16件…流出件数は17万3332件に
　▽関連資料
　2023年最新版｜クレジットカードの不正の現状【かっこ独自調査まとめ】