キッザニア運営元が個人情報2万4644件の流出を公表 不正アクセスの原因は？

キッザニアを運営するKCJ GROUPは、キッザニアのWebサイトに対する第三者の不正アクセスによって個人情報2万4644件が流出したと報告した。氏名や電子メールアドレスなども含まれるという。不正アクセスの原因は何か。

[田渕聖人，ITmedia]

　子ども向けの職業体験型テーマパーク「キッザニア」を運営するKCJ GROUPは2024年12月6日、キッザニアのWebサイトに対する第三者の不正アクセスによって、個人情報が流出した可能性がある件について調査結果を報告した。

　KCJ GROUPは、2024年10月16日に不正アクセスを検知し、同月17日に個人情報流出の可能性があると判断し、外部アクセスの遮断措置などを実行していた。

個人情報2万4644件が流出　不正アクセスの原因とは？

　今回の調査によると、2024年10月17日以前に「キッザニア東京」を予約した一部の顧客の個人情報2万4644件が流出したことが分かったという。漏えいした情報は以下の通りだ。

• 氏名
• 電子メールアドレス
• 電話番号
• 住所

　KCJ GROUPは予約時に利用されたクレジットカード情報や予約者以外の個人情報の流出はないとしており、「キッザニア福岡」や「キッザニア甲子園」への来場予約時に登録された情報については流出していないと報告している。この他、個人情報の公開や不正使用などの二次被害の発生は確認されていない。

　同社は不正アクセスについて、キッザニアのWebサイトのプログラムの一部に脆弱（ぜいじゃく）性があったことが原因だとしている。当該箇所は既に修正し、セキュリティ対策は完了しているという。今回の不正アクセスについては、個人情報保護委員会への報告と所轄警察署への届け出も完了済みだとしている。

　KCJ GROUPは既にシステム全体で外部専門機関による脆弱性調査を実施しているが、再発防止に向けてさらなる強固なセキュリティの構築を図るとした。なお、情報漏えいの対象になった顧客には同社から電話または電子メールで個別に連絡する。