ピックアップテーマ
事件・事故ロジネットジャパンは24日、子会社の札幌通運が旅行代理店事業「クラブゲッツ」のウェブサイトに不正アクセスされ、クレジットカード情報が漏洩した問題について、16日付で所管官庁の観光庁から報告の指示を受け、24日付で報告書を提出したと発表した。
同社が第三者調査機関に依頼していた調査結果では、旅行代理店業のホームページに「SQLインジェクション攻撃」と呼ばれる不正アクセスの形跡があったとされる。
これによってシステムのプログラムの一部が書き換えられるなど、「何らかの要因」によって顧客が2015年10月1日から16年3月4日までに決済画面に打ち込んだ2519件の個人情報が漏洩したとみられる。流出した個人情報は氏名、住所、電話番号、メールアドレス、クレジットカード情報(番号、有効期限)。
同社は3月4日の時点でクレジットカード会社から情報流出の懸念があるとの指摘を受けていたが、情報漏えい懸念を確認してから報告・公表までの対応が遅かったことについて「発覚後カード情報漏えいの拡散防止を主に対応してきたが、カード情報の以外の個人情報の漏えいの懸念があった」と対応が遅れたことを説明した上で、「個人情報取扱事業者として対応に不備があった」と一部落ち度を認めた。
現在は「3月4日にホームページ上でのクレジットカード決済を停止しており、以降のカード情報に関しての漏洩はない」と説明。情報漏えいの直接要因とされているSQLインジェクション攻撃についても「脆弱性はない」という。
今後は情報漏えいの原因の詳細を分析し、今回の件以外に個人情報流出の懸念がないかどうかを調査するほか、ハード面に加えて組織体制、人的側面など「全般的な情報セキュリティ評価(情報セキュリティ監査)と改善コンサルティングを大手の情報セキュリティ専門会社に委託する」ことを決めた。
クラブゲッツでは内部統制の手順を見直し、個人情報の保護の観点から不十分な項目がある場合は、改定を行う。システム改修クレジットカード決済方法は、決済代行会社の運営するサーバ上に直接申し込み情報を入力するようにし、決済システムの入口をマイページ化することで、顧客が頻繁に個人情報を入力することのないような仕様に変更する、としている。
