クレジットカードなどの信販事業を手掛けるアプラスは9月16日、カード会員向けWebサービス「NETstation APLUS」のIDやパスワード47万5813人分を、親会社の新生銀行がマーケティング業務を委託していた2社に誤って提供していたと発表した。提供したデータが委託先以外に渡った形跡はなく、不正利用も確認していないという。
2017年8月25日以降、アプラスの公式スマートフォンアプリからNETstation APLUSにログインした会員のIDやパスワードが対象。同サービスは会員が自身の個人情報や口座情報を確認・変更できるが、これらの機能を使うためには別の認証が必要なため、内容を第三者に盗み見られる可能性は低いとしている。ただし請求額の照会や、支払い方法を一括からリボルビング払いに変更するといった操作はIDとパスワードだけで可能という。
事態が発覚したのは21年9月3日。アプラスが新生銀行グループの業務として当該の委託先1社にデータを提供し、戻ってきた情報を新生銀行が確認したところ、本来渡さないはずのIDやパスワードが混ざっていたことが分かったという。事態を受けアプラスが改めて調査したところ、別の委託先1社にもデータを誤提供していたことが判明した。
アプラスは誤提供の原因について「委託先へ提供するデータの確認手法に不備があった」としている。今後はデータを渡すときの仕組みを見直す他、従業員の意識改善を進めることで再発防止を目指すという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR