PCの物理破壊を外部委託→なぜかネット接続を検知 個人情報漏えいの可能性 「ぼんち揚」製造会社が謝罪
PCの物理破壊を依頼したはずが、なぜかネット接続を検知──せんべい屋「煎餅工房さがえ屋」を運営するぼんちは、そんな発表をした。
PCの物理破壊を依頼したはずが、なぜかネット接続を検知──せんべい屋「煎餅工房さがえ屋」を運営するぼんち(大阪市)は10月10日、そんな発表をした。同社は個人情報を保存したPCの廃棄処分を外部の委託業者に依頼。しかし、一部のPCが適切に廃棄されたことを確認できず、顧客の個人情報を漏えいした可能性があると明かした。
ぼんちは3月12日、使用終了したPCの物理破壊によるデータ消去を伴う廃棄処分を外部業者に委託。しかし4月26日、そのうち1台のPCがWebに短時間接続したことを、セキュリティ監視ツールで検知した。ぼんちがこの事実を認識したのは6月2日で、その後に外部業者に事実確認を実施。結果、複数台のPCの廃棄状況が不明であることが9月1日に判明し、PC内の個人情報が漏えいした可能性があることが分かった。
さらに調査を進めたところ、他にも個人情報を保存していたノートPC1台と個人情報を保存していなかったノートPC2台が適切に廃棄されたか確認できないことが判明した。なお、Web接続を検知したPCは1台のみだった。
今回の事態により漏えいした可能性のある個人情報は、煎餅工房さがえ屋の直営店(本店、山形南店、S-PAL山形店、S-PAL仙台店)で商品を買って、会員登録をした利用者1万1900件分の氏名や性別、年齢、電話番号、郵便番号、住所、メールアドレス。2021年12月に実施した「おこめショコラ」試食モニターに申し込んだ人たち26件分の氏名や年齢、電話番号、郵便番号、住所、メールアドレス、Instagramアカウント情報も対象だ。
クレジットカードの決済情報は含まれておらず、10日時点で第三者への個人情報の開示や不正利用は確認していないという。
ぼんちは「PC廃棄の手順を社内で十分に周知できていなかったことや、委託先の選定と監督が不十分であったことが原因」と説明。今後は委託先の選定を見直す他、個人情報やPCの管理の徹底、PC廃棄手順の運用強化に努めるとしている。
なお、PC廃棄を委託した外部業者の名前は明かしていない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Discord、7万人の運転免許証やパスポート漏えい 外部業者への不正アクセスで
米Discordは10月8日(現地時間)、カスタマーサポート業務を委託していた業者が不正アクセスを受けた個人情報漏えい事案について、運転免許証やパスポートなどが閲覧された可能性のあるユーザーが世界で約7万人に上ることを明らかにした。
早大で約3400件の個人情報漏えい 氏名や顔写真にアクセスできる「IELTS」の成績証明書番号などを誤掲載
早稲田大学(東京都新宿区)は10月7日、英語外部試験「IELTS」「TOEFL iBT」の成績証明書番号などを大学のWebサイトに一定期間、誤掲載していたと発表した。番号は各試験のポータルサイトで個人情報を照会でき、第三者が閲覧できる状態だったとしている。
アサヒへのランサム攻撃で「Qilin」が犯行声明 過去には医療機関への攻撃で患者の情報を人質に
アサヒグループホールディングスが9月下旬に受けたサイバー攻撃について、ランサムウェアグループ「Qilin」が犯行声明を出していたことが分かった。真偽は不明。
韓国、政府のオンラインストレージが火災で焼失 8年分の業務資料858TBが消滅か バックアップなく「気が遠くなる」 現地報道
韓国の政府職員が利用する業務用クラウドストレージ「G-Drive」に関する機器が火災で焼失し、8年分の業務資料に当たる858TBのデータが利用できなくなったと、朝鮮日報が10月2日(現地時間)に報じた。バックアップも存在しないという。
スタバ、従業員4万人分の情報漏えい新たに発覚 シフト作成ツール提供元へのサイバー攻撃巡り
スターバックス コーヒー ジャパンが、9月に発表した情報漏えいを巡り、従業員ID約4万700人分の漏えいを新たに確認したと発表した。漏えいした可能性のあるデータを精査したところ、追加の流出を確認したという。