旅行会社大手のエイチ・アイ・エスによると同社の国内バスツアー(首都圏を出発地とするもの)サイト(以下「本件サイト」といいます)からツアーの申し込みをした一部の個人情報が、本件サイトへの外部からのアクセスにより
漏洩する事故が発生したということです。【経緯】
(1)8 月 17 日(木)
情報セキュリティ強化のため、常にセキュリティ関連の外部情報を収集していたところ、同社が契約している外部のセキュリティ技術専門家より、外部サイトに本件サイトに関する
記述があったという情報を入手。この報告を受け直ちに社内調査を開始し、外部からのアクセ
スの調査・分析を行ったところ、本件サイトにおいて圧縮ファイルダウンロードの形跡が確認され、当該ファイル中に顧客の個人情報が含まれていることが判明。
本件サイトに対しては直ちに必要な措置を講じたほか、この事態を受け、同社内に「対策本部」を設置し、その後、データの解析を行った結果、ダウンロードされた個人情報は最大 11,975 名様分であることが判明いたしました。(2)8 月 18 日(金)
登録行政庁である観光庁、個人情報保護委員会、一般社団法人日本旅行業協会およびプライバシーマーク制度の運用機関である一般社団法人日本情報経済社会推進協会(JIPDEC)に対し本件の概要につき第一報を行いました。(3)8 月 21 日(月)
本件について、所轄の新宿警察署に相談するとともに、個人情報保護法の定めに従い、個人情報保護委員会に本件に関する報告を行いました。(4)8 月 22 日(火)
お客様情報流出の個別の内容がご報告できる状況となったことから、このたびの発表にいたりました。【原因】
本件サイトのリニューアルに伴い、旧サイトでお申し込み済みの顧客の予約データを移行する作業を実施した際、誤って公開領域に個人情報を含む予約データが残置されました。そのため、第三者のアクセスにより、該当データがダウンロードされたのこと。【事故が発生したサイト】
国内バスツアー(首都圏を出発地とするもの)サイト(https://bus-tour.his-j.com/tyo/)【漏洩した個人情報の詳細】
(1)対象:2017 年 3 月 18 日 16:03~2017 年 7 月 27 日 17:30 の期間に、2017 年 8 月 1 日~2017 年 12 月31 日出発の首都圏発国内バスツアーを本件サイトからご予約いただいたユーザー
(2)項目:今回流出した情報は、ご予約の際にご入力いただいた以下の一部または全部の情報となります。
なお、クレジットカード番号・金融機関口座情報は一切含まれておりません。
【代表者の方(お申し込みをされた方)】最大 4,566 名様
①氏名(漢字・カタカナ)、②性別、③年齢、④メールアドレス、⑤住所、⑥電話番号、
⑦ツアー名、⑧出発日
【同行者の方】最大 7,017 名様
①氏名(カタカナ)、②性別、③年齢、④電話番号(お申し込み時に入力された場合のみ)、
⑤ツアー名、⑥出発日
【緊急連絡先の方(参加者以外を指定された場合)】最大 392 名様
①氏名(カタカナ)、②電話番号<専用相談窓口> ※以下の特設ダイヤルは 2017 年 10 月末まで開設しております。
電話番号:0120-447-583(フリーダイヤル)
受付時間:平日 10:00~18:30 ※ 8 月 26 日(土)、27 日(日)は開設しております。同社は「本日 8 月 22 日(火)、ツアーの代表者(お申し込みをされた方)に対し、弊社より電子メールにてご連絡を差し上げます。」としています。
PARTNER
