事件の概要
- ライトオン公式オンラインショップへ外部からの不正アクセスがあった
- ライトオンメンバーズ情報が流出したことが確認された
- 流出した個人情報は、会員登録フォームより登録されたライトオンメンバーズ情報のうち、247,600人分
- 流出した個人情報は、氏名、電話番号、住所、生年月日、性別、メールアドレス
- 流出した個人情報にクレジットカード情報、オンラインショップのパスワードは含まれていない
- 警察へ通報。個人情報保護委員会へ報告。
- お客様問い合わせ窓口の設置
- 個人情報の流出が確認されたお客様へ個別のご案内
コメント(課題・問題点・防止策等)
- 不正アクセスによる個人情報の流出事件はよくニュースになっている
- 通常、流出する情報は会員登録などの基本的な情報であり、クレジットカードなどの情報は別の強固な決済会社のシステムを使っているのが通常なので、流出することはない。
- 2000年代の個人情報流出では、基本情報が流出しただけでも500-1000円程度のお詫び金を支払っていたが、今は謝罪の連絡だけということが多い。
- 実際、流出した個人情報も、大きな不利益を被るようなセンシティブな情報でないことがほとんど。ただし、裁判をすれば過去にあった事例のように慰謝料を請求することは可能だと思う。
- 不正アクセスの手口は公表されることは少ないが、システムの脆弱性を狙ったものや、設定ミスを突いたものなどさまざまである
- システムを最新にしていたにもかかわらず、新しいぜい弱性を突かれた場合は防ぎようがないが、やるべきことをやっていたら防ぐことができた場合は事業者の過失になりうる
- 特に、システムへのログイン用のIDやパスワードが抜かれた場合は、複雑なものにしておいたのか、ログイン用のページのアドレスを変更していたのかなどの対策をすることができる
- 私自身も海外から1時間に1000回ぐらいのログイン攻撃を受けることもよくあり、履歴を見たら攻撃があったことがわかる
- 公開しているサイトなので攻撃を受けることは防ぎようがないが、攻撃を受けても、破られない対策は可能である
- 大きな事業者だからニュースになっただけであり、個人事業者レベルでも対策は必要である
- そして、個人情報が流出した場合の「個人情報保護委員会」への報告です。義務ではないですが、努力義務になっています
- 個人情報の流出についてはコンプライアンス研修でもお伝えしています
ライトオン 公表資料 弊社公式オンラインショップへの不正アクセスによる個人情報流出に関するお詫びとご報告 2021.11.04
弊社公式オンラインショップへの不正アクセスによる個人情報流出に関するお詫びとご報告 2021.11.04
この度、弊社が運営するライトオン公式オンラインショップに対し、外部からの不正アクセスがあり、弊社が保有するお客様の個人情報 (ライトオンメンバーズ情報) が流出したことが確認されました。
なお、流出したお客様の個人情報にクレジットカード情報、弊社公式オンラインショップのパスワードは含まれておらず、現時点において流出した個人情報の不正流用などの二次被害は確認されておりません。今後の調査の進捗に応じて対象件数や状況が変動する可能性がございますが、現時点で確認している事実と弊社の対応状況をご報告いたしますとともに、お客様や関係者の皆様には、ご迷惑とご心配をおかけすることを、深くお詫び申し上げます。
1.不正アクセスの状況
2021年10月27日に弊社公式オンラインショップに対する不正アクセスが確認され、調査をいたしましたところ、2021年10月23日から第三者による不正アクセスを断続的に受けた形跡を確認いたしました。そのため、10月28日にセキュリティ対策の強化を実施しましたが、翌29日にふたたび不正アクセスが確認されたため、あらたなセキュリティ対策の強化と不正アクセス元からの通信遮断を行いました。2.流出が確認された個人情報について
弊社公式オンラインショップならびに店舗メンバーズサービスのご利用に際して、会員登録フォームよりご登録いただいたライトオンメンバーズ情報のうち、247,600人分。
対象となる個人情報:氏名、電話番号、住所、生年月日、性別、メールアドレス
※クレジットカード情報は含まれておりません。
個人情報の流出が確認されたお客様には個別にご連絡をいたしました。3.経緯および対応について
10月27日(水) アクセス数の異常を検知
10月28日(木) 不正アクセスが判明し情報が流出する可能性を確認。セキュリティ強化の緊急措置を実施
10月29日(金) セキュリティ強化の対策と不正アクセス元からの通信遮断など緊急措置を実施
10月30日(土) 調査により流出した情報にお客様の個人情報が含まれていることが判明
11月3日(水) 警察へ通報。個人情報保護委員会へ報告
11月4日(木) お客様問い合わせ窓口の設置
11月4日(木) 個人情報の流出が確認されたお客様へ個別のご案内4.今後の対応と再発防止策について
不正アクセスに対するセキュリティ強化の対策を徹底するとともに、監視体制のさらなる強化を図ります。また、第三者による弊社セキュリティ体制の監査を行い、再発防止に努めてまいります。なお、本件に関して今後新たな情報が判明した場合には、随時お知らせいたします。5.お客様へのお願い
弊社オンラインショップをご利用のお客様は、不正ログインを防止するため、以下の点にご協力をお願いいたします。
•第三者が容易に推測できるパスワードを使用しない。
今回、パスワード情報の流出はございませんでしたが、容易に推測できるパスワードは不正ログインの対象となる可能性がありますので、より複雑なパスワードに変更下さいますようお願いいたします。弊社は、お客様情報の保護を最優先事項と認識しており、この度の事態の発生を真摯に受け止め、不正アクセスの監視強化など、より一層お客様が安全・安心にお買い物できる環境を整備してまいります。
本件に関するお問い合わせは、下記窓口までお寄せくださいますよう、お願いいたします。
https://biz.right-on.co.jp/news/topics/1104-2.php
【個人情報保護委員】個人情報の漏えい等の対応
個人情報保護委員会 >個人情報保護法等 >漏えい等の対応(個人情報)
https://www.ppc.go.jp/personalinfo/legal/leakAction/
漏えい等の対応(個人情報)
事業者の皆様へ
個人情報取扱事業者は、漏えい等事案が発覚した場合は、その事実関係及び再発防止策等について、個人情報保護委員会等に対し、速やかに報告するよう努めることとされております。
【参考資料①】
個人情報保護委員会「漏えい等の事案が発生した場合の対応等の概要について (PDF : 130KB)」2ページ分
https://www.ppc.go.jp/files/pdf/190327_rouei_gaiyou.pdf
ニュース記事の紹介
※下記に紹介している記事や動画は時間の経過とともに削除される場合がありますのでご了承ください。また、新しいニュースがあれば追加します。
【ANN】ライトオンに不正アクセス 24万人余の個人情報流出(2021年11月4日) 2021/11/05
- 【YouTube】https://youtu.be/UMyCOL2Xpck
ライトオンに不正アクセス 24万人余の個人情報流出[2021/11/04 22:00]
カジュアル衣料のライトオンは外部から不正アクセスを受け、オンラインショップなどの会員24万7600人の個人情報が流出したと発表しました。
流出したのはライトオンの公式オンラインショップなどの会員の氏名、住所、電話番号、生年月日、性別、メールアドレス24万7600人分です。
先月23日以降、第三者から断続的に不正アクセスを受けた形跡が確認されたということです。
流出した情報にクレジットカード番号やパスワードは含まれておらず、現時点で情報が不正に流用されたとの報告はないとしています。
ライトオンでは個人情報の流出が確認された客に連絡し、今後、再発防止に努めるとしています。
https://news.tv-asahi.co.jp/news_economy/articles/000234198.html
【東京商工リサーチ】ライトオン 不正アクセスで約25万人会員情報が流出、氏名や生年月日など 2021.11.04
ライトオン 不正アクセスで約25万人会員情報が流出、氏名や生年月日など
公開日付:2021.11.04
ジーンズなどカジュアルウェアショップ「Right-on」を運営する(株)ライトオン(TSR企業コード:280213751、つくば市、東証1部)は11月4日、不正アクセスで会員24万7600人分の個人情報が流出したと発表した。
流出した個人情報は、氏名、電話番号、住所、生年月日、性別、メールアドレス。クレジットカード情報やオンラインショップのパスワードは流出した個人情報に含まれておらず、不正流用など二次被害は確認されていないという。
ライトオンのお知らせによると、10月27日に第三者による不正アクセスを受けた形跡があり、セキュリティ強化の対策を実施したが、個人情報が流出したことを確認した。個人情報は、公式オンラインショップならびに店舗メンバーズサービスの利用に際して、会員登録フォームより登録したライトオンメンバーズ情報24万7600人分。
ライトオンの調査の結果、原因はオンラインショップサイトの脆弱性を悪用した第三者からの不正アクセスという。今後、セキュリティ強化の対策や監視体制の強化など再発防止に努めていくとしている。
https://www.tsr-net.co.jp/news/analysis/20211104_11.html
【NHK】「ライトオン」 不正アクセスで24万人余の個人情報流出 2021年11月4日
「ライトオン」 不正アクセスで24万人余の個人情報流出
2021年11月4日 22時18分
衣料品チェーンの「ライトオン」は、不正アクセスによってオンラインショップやアプリの利用者、合わせて24万人余りの名前や住所などの個人情報が流出したと発表しました。
発表によりますと、流出したのは「ライトオン」のオンラインショップやアプリの利用者、合わせて24万7600人分の名前と住所、電話番号やメールアドレスなどです。
10月末に個人情報の管理を委託している外部の業者から連絡を受けて調査したところ、不正アクセスによる個人情報の流出が確認されたということです。
流出したものの中にクレジットカードの情報などは含まれておらず、今のところ個人情報が悪用されたケースは確認されていないということですが、会社では、個人情報が流出した会員にメールで連絡したということです。
ライトオンは「お客様や関係者の皆様にご迷惑とご心配をおかけすることを深くおわび申し上げます。不正アクセスの監視強化などより一層安全・安心に買い物できる環境を整備してまいります」とコメントしています。
https://www3.nhk.or.jp/news/html/20211104/k10013335231000.html