ハウステンボス、大規模漏えいの可能性 顧客150万人の個人情報、役職員・取引先のマイナンバー情報など

[岡田有花，ITmedia]

　長崎県でテーマパークを運営するハウステンボスは12月12日、8月に発生した不正アクセスにより、顧客情報や役職員、取引先の個人情報が大規模に漏えいした可能性があると発表した。

　顧客約149万9300人分の氏名や住所などと、役職員とその家族約3万7300人分の氏名やマイナンバー情報、健康診断結果、障がいに関する情報、取引先約9400人分の氏名やマイナンバー情報などが漏えいしたおそれがあるという。

漏えいした可能性がある情報（ニュースリリースより）

不正アクセスの経緯など

　漏えいしたおそれがある顧客情報（約149万9300人分）は、氏名や生年月日、性別、住所、電話番号、メールアドレスなど。

　役職員（退職者含む）と家族の情報（約3万7300人分）には、氏名や住所、電話番号などに加え、マイナンバー情報や健康診断結果、障がいに関する情報などが含まれていた。

　取引先情報（約9400人分）も漏えいした可能性があり、氏名、社名、住所、電話番号、メールアドレス、マイナンバー情報などが対象だ。

　クレジットカード情報は保有しておらず、漏えいはないという。影響を受けた可能性がある対象者には順次個別に案内を送る。

リモートアクセス機器経由で侵入・データ暗号化される

　不正アクセスは8月29日に発覚。不正アクセスにより業務管理システムなどサーバ内のファイルの一部が暗号化されていることを確認したため、システムを停止し、ネットワークを遮断した。

　その後、外部専門家による調査の結果、リモートアクセス機器を経由して第三者が不正にネットワークへ侵入したこと、複数のサーバ・PCで暗号化が行われていたこと、個人情報の一部が外部に漏えいした可能性があることが判明した。

　これに伴い、公式アプリのアトラクション待ち時間表示や一部発注システムに影響が出たが、10月1日までに復旧した。

　現時点で二次被害は確認されていないという。同社は再発防止策として、通信経路の再設計やアカウント管理の厳格化、デバイス管理ポリシーの強化、セキュリティ監視体制の再構築など行っている。