カルピスの顧客情報約10万件が流出か、業務委託先で不正行為も

[ITmedia]

　カルピスは7月13日、顧客の個人情報9万5689件がインターネット上に公開され、第三者に漏えいした可能性があると発表した。現在はデータを削除して閲覧できないようにしたといい、電話による専用窓口を開設するなどの対応を進めている。

カルピスが掲載した経緯説明文

　同社によると、漏えいした可能性がある情報は2009年8〜10月に実施いた「’09年秋のHAPPY REFRESH キャンペーン」で収集した個人情報。全体のうち5万4266件はキャンペーンに登録・応募した顧客のもので、氏名、フリガナ、郵便番号、住所、電話番号、メールアドレス、性別、年齢、応募した賞品コース、キャンペーンを知ったきっかけの情報（一部は任意）となる。残る4万1423件は、キャンペーンに登録したが応募をしなかった顧客のメールアドレスのみとなっている。

　漏えいした可能性は7月5日に判明。キャンペーン参加者の個人情報がインターネット上に公開されているとの通報が外部からあり、同社が同日の午後10時15分にサーバから一切の個人情報を削除して閲覧できないようにした。公開状態にあった期間は2月3日から7月5日までの約5カ月間で、7月2日から5日までの4日間だけで87件のアクセスがあったことを確認。このことから、同社では個人情報がサーバにアクセスした人物に漏えいした可能性があると判断した。

　キャンペーンで収集した情報は、完了後3カ月以内に廃棄処分されているはずだったといい、同社は2010年2月1日にキャンペーンの個人情報管理を委託していた外部委託先から廃棄証明書を受領したと説明。しかし、この委託先の担当者が個人情報のデータを会社が貸与した個人使用PCに複製して不正に保有。2012年2月3日にレンタルサーバへ移したことから、インターネット検索でアクセス可能な状態になっていたとしている。

　現時点で漏えいした可能性がある個人情報が不正使用された事実は確認していないといい、該当する以外の情報は漏えいしていないことを確認したという。

　同社は専用窓口を開設して顧客からの問い合わせに対応中。「 厳重に管理すべきお客様の個人情報の取り扱いにおいて、このような事態を起こしてしまい、誠に申し訳ございません。多大なご迷惑とご心配をお掛けいたしますことを、深くお詫び申し上げます」と謝罪した。

　再発防止策として（1）外部委託先選定基準の見直し、（2）個人情報他機密情報に関する監査方法の強化、(3）情報管理者の再教育などを進め、個人情報の管理を強化・徹底――するとしている。

　’09年秋のHAPPY REFRESH キャンペーンの業務は、博報堂に委託しており、個人情報管理については博報堂がフォークに再委託していた。

　博報堂は、「個人情報取扱業務を再委託する外部委託先におけるセキュリティおよびクオリティ基準を見直し、管理徹底のための研修を行うとともに、個人情報廃棄確認の徹底を行う等、個人情報の取扱いに関しての監査体制を強化してまいります」とのコメントを発表。

　個人情報管理を博報堂から受託したフォークは、「従業員の重大な過失により、カルピス様をはじめとして、関係の皆様に多大なご迷惑とご心配をおかけすることになり、衷心より深くお詫び申し上げます」と謝罪。「弊社内に対策本部を設置し、今後、このような事態が発生しないよう、防止策を構築するともに、個人情報流出の原因究明と再発防止について、速やかなる対応を行ってまいります」としている。