ダンディハウスを運営するシェイプアップハウス 元従業員が顧客情報持ち出しにより個人情報漏洩

株式会社シェイプアップハウスによるとダンディハウス/ミス・パリおやまゆうえん店に登録していた顧客の個人情報が従業員(現在は退職)により不正持ち出され、利用されたことを確認したとして報告しました。同社は「お客様の大切な個人情報の漏えいにより、多大なご迷惑とご心配をお掛けすることとなり、心より深くお詫び申し上げます。今回の事態を厳粛に受け止め、再発防止に努めてまいります。」として謝罪しています。

【経緯】
ダンディハウス/ミス・パリおやまゆうえん店(2016年12月営業終了)に勤務していた元従業員が同社退職後、自身のエステティックサロンを開業。2018年2月、おやまゆうえん店勤務時に不正に持ち出した顧客リストを使用し、43名のお客様に対して営業活動のDMが送付。同月14日、DMを受け取った顧客より、同社お客様相談室にお問い合わせがあり、発覚しました。

【対応
顧問弁護士を通じ、元従業員から持ち出されたお客様リストの原本回収を行いました。
DM以外での利用は無いことの確認をしております。

【漏えいした情報の範囲
(1)ダンディハウス/ミス・パリおやまゆうえん店を2014年9月1日~2016年9月26日の間に利用した会員(354名)。そのうち、43名の顧客情報の不正利用を確認いたしました。
(2)該当する顧客情報:名前、会員番号、住所、電話番号、性別、最終来店日
*契約内容、クレジットカード情報、口座情報の漏洩はないとのことです。

【再発防止策
サロン運営における個人情報管理方法の改善及び、セキュリティー強化の対策を実施し全従業員に対しての教育を実施し、安全性の確保に努めてまいります。

<本件に関するお問い合わせ先>
個人情報相談窓口:03-6757-6511
受付時間:平日10時~18時

いわゆる内部犯行の中で一番多いパターンです。内部犯行はシステム的なセキュリティ対策では防ぎきれません(ある程度は可能です)。ただしきちんとした社員教育を施していれば十分可能です。教育とは、何も道徳だけではありません。もしこういったことをすれば後の調査で発覚しますよ、ということをきちんと伝えておけば従業員の出来心を抑えることができます。今回のようなケースで一番有効なのは、ログの監視です。グループポリシーでUSBへの利用制限なども可能ですが、ファイルをメールで外部に送信などすることもあり得ます。しかしログをとっていてきちんと見張っていれば後に発見可能です。弊社でご提供している『サイバーセキュリティ監視運用サービス』のようなログをチェックするソリューションは今回のようなケースにも有効です。

詳細;株式会社シェイプアップハウス

<