06 情報セキュリティ, 個人情報保護法

はじめに

音楽CD・レコードチェーン店事業を展開する株式会社ディスクユニオンは、２０２２年６月２９日、自社で運営するオンラインショップ「diskunion.net」と「audiounion.jp」において、サイトに登録されている顧客の個人情報が外部へ漏えいした可能性がある旨、文書にて発表しました。文書によると、漏えいの経緯と原因について、現在、関係機関と連携し調査を行っているということです。そこで本記事では、漏洩した個人情報の内容やその後のディスクユニオンの対応等について見ていきましょう。

個人情報漏えいの経緯

発表された文書内でディスクユニオンは今回の個人情報漏えいの経緯をまとめています。それによると、６月２４日（金）に第三者からの情報提供を受けて社内調査を実施したところ、オンラインショップに登録された顧客の個人情報が漏えいしている可能性を確認したとのことです。これを受け、さらなる漏えいを防ぐために同日２３時にオンラインショップの稼働を停止し、翌日６月２５日午前に社内緊急対策チームを発足。外部調査機関への依頼を実施し、６月２７日に個人情報保護委員会へ報告を行った後、６月２８日に所轄警察へ被害報告を行っています。
ディスクユニオンは他社サイト・サービスへの不正ログインを防止するため、現在同社のオンラインショップへ登録されたEメールアドレス・パスワードと同様の組み合わせで登録しているWEBサービス等について、他人に容易に推測できないパスワードへ変更することを呼びかけています。

漏えいの可能性が確認された個人情報について

ディスクユニオンは、漏えいの可能性が確認された個人情報として、オンラインショップ「diskunion.net」と「audiounion.jp」に登録された顧客の氏名、住所、電話/FAX番号、Eメールアドレス、ログインパスワード、会員番号をあげています。また、漏えいの可能性のある情報は最大約７０１，０００件とされており、かなりの規模の漏えいになる恐れがあります。
一方で、ディスクユニオンはオンラインショップにおける決済事業を全て別の業者に外部委託しているため、クレジットカード情報を保有しておらず、クレジットカード情報の漏えいの恐れはないとしています。

個人情報漏えいへの対応と個人情報保護委員会への報告

内閣府の外局である個人情報保護委員会では、従前より、個人情報の漏えいが生じた際の対応をホームページ上に示しています。同委員会によると、①要配慮個人情報（病歴・犯罪歴・犯罪被害事実・人種・信条・社会的身分に係る個人情報）が含まれている個人データの漏えい、②不正に利用されることで財産等の被害が生じる情報漏えい、③不正の目的をもって行われたおそれがある個人データの漏えい、④個人データに係る本人の数が1,000人を超える漏えい等は、委員会への報告が義務づけられた漏えいとされています。今回のディスクユニオンの個人情報の漏えいでは、クレジットカード情報は含まれていないものの、最大数万人規模の大人数の顧客情報の漏えいということもあり、報告すべき個人情報の漏えいに該当するといえます。

個人情報保護委員会｜漏えい等の対応とお役立ち資料

ディスクユニオンのホームページではユーザー向けにFAQを記載しており、情報漏えいに関する疑問や懸念事項にあらかじめ回答しています。同社によると、流出対象となっているユーザーについては、登録されているEmailアドレスへお知らせメールを順次送信しているとのことで、現在対応に追われています。また、情報漏えい前にユーザーが注文した分はすべて注文が通っており、順次商品を発送しているとのこと。今後はセキュリティの強化や再発防止策の推進とともに、情報漏えいの原因究明が急がれます。

メルマガ会員登録