HIS、最大1万人超の個人情報流出 バスツアー予約サイトから

HISが、最大1万1975人分の個人情報が流出したと発表。首都圏出発のバスツアーの予約サイトをリニューアルする際、外部からアクセスできる場所に個人情報を誤って保存していた。

[ITmedia]

　エイチ・アイ・エス（HIS）は8月22日、国内バスツアーの予約サイトが外部からアクセスを受け、最大1万1975人分の個人情報が流出したと発表した。予約サイトのリニューアル時に、旧サイトで申し込んだユーザーの予約データを外部からアクセスできる場所に誤って保存していたのが原因。現時点で個人情報を悪用されたという被害報告はないという。

HISのバスツアー予約サイト

　意図しないアクセスを受けたのは、首都圏を出発地とするバスツアーの予約サイト。2017年3月18日〜7月27日に、8月1日〜12月31日出発のツアーを申し込んだユーザーの個人情報が流出したという。

　流出したとされるのは、ツアーを申し込んだ代表者（最大4566人分）の氏名や住所、性別、年齢、電話番号、メールアドレス、ツアー名、出発日。

　さらに同行者（最大7017人分）の氏名、性別、年齢、電話番号、ツアー名、出発日、加えて緊急連絡先（最大392人分）の氏名、電話番号も漏えいしたという。クレジットカード番号、金融機関口座情報は一切含まれないとしている。

　17日、同社が契約する外部セキュリティ専門家から報告を受け、社内調査を開始。第三者からのアクセスとファイルダウンロードの形跡を確認したという。同社の他の予約サイトは、被害を受けたサイトとは分離したシステムで運営しており、トラブルの影響はないとしている。

　すでに観光庁、個人情報保護委員会、日本旅行業協会、プライバシーマーク制度を運用する日本情報経済社会推進協会（JIPDEC）、新宿警察署などに報告済みという。

　対象のツアー代表者には22日にメールで連絡し、専用相談窓口（電話番号は0120-447-583）も設ける。再発防止のために、第三者機関によるセキュリティ診断や、内部チェック体制を強化するほか、スタッフへの啓蒙を行うとしている。

HISの謝罪文より