サプリメント・健康食品のECサイト運営会社のカード情報が漏洩した可能性があると発表されていました。※11月分に遡って調査しています。
www.saisoncard.co.jp
公式発表
・お客様情報の不正流出に関するお詫びとお知らせ(11/17)魚拓
弊社が 2016 年 7 月までテレマーケティング業務を委託していた株式会社NTTマーケティングアクト ProCX において、同社が利用するコンタクトセンタシステムを提供するNTTビジネスソリューションズ株式会社の同システムの運用保守業務従事者(元派遣社員)が、弊社のお客様情報を不正に持ち出していたことが判明いたしました。
なお現段階では、第三者に流出させた事実は確認されておらず、本件に関わる個人情報の不正利用等も確認されておりません。
このような事態を発生させ、お客様へ多大なご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
1. 本件の概要
(1)持ち出された件数
リフレのお客様数 :963 件(現時点判明分)
※2013 年 5 月 27 日~2013 年 12 月 27 日の期間で、折込チラシ・新聞広告などからお電話でご注文いただいた際のお客様に関する情報
(2)不正に持ち出されたお客様情報の内容
氏名/郵便番号/住所/電話番号/性別/生年月日(一部)/クレジットカード情報(14 件)
キタきつねの所感
10月に発表があった、NTT西日本の子会社NTTマーケティングアクトProCX(の内部不正インシデント)のクライアントの1社が今回被害を受けたリフレ社だった様です。
10月の発表時には、顧客情報(約900万件の個人情報)と共に、カード情報81件も流出したと報じられていましたので、その一部だったと見られます。
www.jiji.com
持ち出された情報は主に住所、氏名、電話番号で、うち81件にはクレジットカード情報が含まれていた。
割販法のガイドラインである「クレジットカード・セキュリティガイドライン」では、ECサイトはカード情報非保持、またはPCI DSS準拠が求めらています。
ガイドラインに照らし合わせて考えると、テレマーケティング業務では本来不要であるべきのカード情報を保持していた(NTTマーケティングアクトProCXに渡していた)事は問題なのですが、よく流出期間を見ると、2013年5月~12月となっており割販法のガイドライン”適用前”だった事が分かります。
www.meti.go.jp
リフレ社は2016年7月までテレマーケティング業務を委託していたと発表されていますので、何故2013年だけなのか?という所が引っかかりますが、内部不正をした元派遣社員がデータを持ち出したタイミングに(たまたま)外れていたのかと推測します。
また、漏洩した可能性がある963件の顧客情報(個人情報)に、その2%にも満たない14件のカード情報がどうして紛れ込んでいたのか?との疑問が残りますが、例えば顧客データベースの”備考欄”といった予備フィールドにオペレータが口頭で聞いた顧客のカード番号が紛れ込んでいたという様な可能性が考えられます。
こうした予想していないカードデータが自社の顧客データベースに紛れ込むというのは、実は過去にも発生しています。2022年9月にランサムウェア感染被害を発表した日本盛では、詳細調査の結果カード情報23件が漏洩していたと公表しています。
www.nihonsakari.co.jp
※日本盛は画像データにカード情報が残っていたので、今回の件とは少し違いはありますが、想定外の所にカード情報が残っていたという点では同じかと思います。
他社でも、こうした”想定外運用”は十分に起こり得ると思いますので、自社の顧客データベースを定期的にカード情報が無いか(非保持が維持できているか)チェックすると共に、業者に顧客データを渡す(委託する)際には、想定していないデータフィールドにカード情報が紛れ込んでいないか、チェックし、削除またはマスキングする(XXXに置き換える)事を運用ルールに定めておく事を推奨します。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
