ITmedia NEWS > セキュリティ >
ニュース
» 2021年09月17日 15時15分 公開

親会社の委託先にID・パスワード47万人分を誤提供、新生銀行傘下のアプラスがクレカ会員向けサービスで

アプラスがクレカ会員向けサービスのIDやパスワード47万5813人分を、親会社がマーケティング業務を委託していた2社に誤って提供していたと発表した。誤提供したデータが委託先企業以外に渡った形跡はなく、不正利用も確認していないという。

[吉川大貴,ITmedia]

 クレジットカードなどの信販事業を手掛けるアプラスは9月16日、カード会員向けWebサービス「NETstation APLUS」のIDやパスワード47万5813人分を、親会社の新生銀行がマーケティング業務を委託していた2社に誤って提供していたと発表した。提供したデータが委託先以外に渡った形跡はなく、不正利用も確認していないという。

 2017年8月25日以降、アプラスの公式スマートフォンアプリからNETstation APLUSにログインした会員のIDやパスワードが対象。同サービスは会員が自身の個人情報や口座情報を確認・変更できるが、これらの機能を使うためには別の認証が必要なため、内容を第三者に盗み見られる可能性は低いとしている。ただし請求額の照会や、支払い方法を一括からリボルビング払いに変更するといった操作はIDとパスワードだけで可能という。

photo アプラスが提供するスマートフォンアプリのイメージ

 事態が発覚したのは21年9月3日。アプラスが新生銀行グループの業務として当該の委託先1社にデータを提供し、戻ってきた情報を新生銀行が確認したところ、本来渡さないはずのIDやパスワードが混ざっていたことが分かったという。事態を受けアプラスが改めて調査したところ、別の委託先1社にもデータを誤提供していたことが判明した。

 アプラスは誤提供の原因について「委託先へ提供するデータの確認手法に不備があった」としている。今後はデータを渡すときの仕組みを見直す他、従業員の意識改善を進めることで再発防止を目指すという。

Copyright © ITmedia, Inc. All Rights Reserved.