ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

ユニクロ、顧客データの扱いに不備 個人情報扱わないはずの委託先が閲覧可能な状態に

» 2024年07月02日 12時19分 公開
[ITmedia]

 ファーストリテイリンググループは7月2日、社内システムの設定不備により、個人情報の取り扱いを任せていない委託先事業者が、顧客の個人情報を確認可能な状態になっていたと発表した。すでに設定は修正済み。個人情報の持ち出しや第三者によるアクセスは発生していないという。

photo ユニクロのイメージ画像(ファーストリテイリング公式サイトから引用)

 問題があったのは、サービスの稼働状況を監視するシステムの設定。本来は個人情報を保存しない仕様だったものの、2023年6月から24年1月にかけて、一部の顧客情報が保存される設定になっていた。結果として、ファーストリテイリンググループが個人情報の取り扱いを任せていない委託先が、特定の条件下でデータを閲覧できたという。

photo 閲覧可能だった個人情報

 閲覧できたのは(1)ユニクロ、ジーユー、プラステなどファーストリテイリンググループが運営するECサイトを使った顧客の氏名、住所、電話番号など、(2)グループ店舗に来店した人のうち、他店舗からの商品取り寄せを希望した人の氏名、電話番号、メールアドレス、(3)着こなし確認用スマートフォンアプリ「スタイルヒント」利用者のメールアドレス──で、クレジットカード情報やパスワードは含まないとしている。

 データが閲覧可能だった委託先事業者とは、今回の件を受けて個人情報の保存や持ち出しをしていないことについて、書面で確認を取ったという。個人情報保護委員会には報告済み。情報が閲覧できる状態になっていた顧客に対しては、順次詳細を通知する。

 ファーストリテイリングは設定不備の原因について「情報システムの開発段階における仕様の確認、及びその運用段階におけるモニタリングが不十分であったこと」としている。今後は開発や運用、業務上不要な個人情報の取り扱いが発生しないことを確認する手続きを改め、再発防止を目指すという。

Copyright © ITmedia, Inc. All Rights Reserved.