ユニクロ、顧客データの扱いに不備 個人情報扱わないはずの委託先が閲覧可能な状態に
ファーストリテイリンググループで、社内システムの設定不備により、個人情報の取り扱いを任せていない委託先事業者が、顧客の個人情報を確認可能な状態になっていた。すでに設定は修正済み。個人情報の持ち出しや第三者によるアクセスは発生していないという。
ファーストリテイリンググループは7月2日、社内システムの設定不備により、個人情報の取り扱いを任せていない委託先事業者が、顧客の個人情報を確認可能な状態になっていたと発表した。すでに設定は修正済み。個人情報の持ち出しや第三者によるアクセスは発生していないという。
問題があったのは、サービスの稼働状況を監視するシステムの設定。本来は個人情報を保存しない仕様だったものの、2023年6月から24年1月にかけて、一部の顧客情報が保存される設定になっていた。結果として、ファーストリテイリンググループが個人情報の取り扱いを任せていない委託先が、特定の条件下でデータを閲覧できたという。
閲覧できたのは(1)ユニクロ、ジーユー、プラステなどファーストリテイリンググループが運営するECサイトを使った顧客の氏名、住所、電話番号など、(2)グループ店舗に来店した人のうち、他店舗からの商品取り寄せを希望した人の氏名、電話番号、メールアドレス、(3)着こなし確認用スマートフォンアプリ「スタイルヒント」利用者のメールアドレス──で、クレジットカード情報やパスワードは含まないとしている。
データが閲覧可能だった委託先事業者とは、今回の件を受けて個人情報の保存や持ち出しをしていないことについて、書面で確認を取ったという。個人情報保護委員会には報告済み。情報が閲覧できる状態になっていた顧客に対しては、順次詳細を通知する。
ファーストリテイリングは設定不備の原因について「情報システムの開発段階における仕様の確認、及びその運用段階におけるモニタリングが不十分であったこと」としている。今後は開発や運用、業務上不要な個人情報の取り扱いが発生しないことを確認する手続きを改め、再発防止を目指すという。
関連記事
- ユニクロ・GUの通販サイトにリスト型攻撃、不正ログイン46万件 氏名や住所、身体のサイズなど流出
ユニクロ・ジーユーの公式オンラインストアがリスト型アカウントハッキング攻撃を受け、約46万件のIDが不正ログインされた。不正ログインを受けたユーザーの氏名や住所、電話番号などの個人情報が第三者に閲覧された可能性があるという。 - 個人情報委、トヨタ情報漏えい事案で行政指導 「個人情報と認識していなかった」と指摘
個人情報保護委員会は7月12日、5月に発生したトヨタ自動車における個人情報漏えいについて行政指導したと発表した。「研修が不十分だった」「個人情報として認識していなかった」「取り扱い状況を把握していなかった」などと指摘している。 - 積水ハウスで個人情報3万件漏えいか 委託先・BIPROGYによるセキュリティ設定に不備
積水ハウスが、システム開発用のクラウドサーバから個人情報など3万件超が漏えいした可能性があると発表した。一部の情報は漏えいを確認した。システム開発を委託していたBIPROGYによるセキュリティ設定に不備があったという。 - “プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」を運営する日本情報経済社会推進協会(JIPDEC)は、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 - エイチーム、Googleドライブで設定ミス 約94万人分の情報が「リンクを知っていれば誰でも閲覧できる状態」に
エイチームが、12月7日に発表した個人情報漏えいの可能性について、詳細な調査の結果を公開した。オンラインストレージ「Googleドライブ」の情報公開設定にミスがあり、顧客や取引先、退職者など93万5779人の情報を含むファイル1369件が、リンクを知っていれば誰でも閲覧できる状態だったという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.