[インシデント]アサヒ軽金属工業株式会社



■アサヒ軽金属工業株式会社
[企業情報]
業種:金属製品(家庭の健康を守る調理器の開発販売)
資本金:1000万円
従業員数:130人
企業URL http://www.asahikei.co.jp/

[インシデント発覚日]
2018年6月6日

[インシデント概要]
2017年1月14日~2018年5月25日の期間にショッピングサイトで購入した顧客クレジットカード情報が流出し、一部のクレジットカード情報が不正利用された可能性。

[被害/影響]
77,198名分の下記情報
・カード会員名
・クレジットカード番号
・有効期限

[想定損害額]
2,007,148,000円

[原因]
(企業側見解)
該当企業が運営する「Webショッピングサイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス

(私の見解)
システム運用における怠慢(サーバへのパッチ未適用)と想定

[プレスリリース]
弊社が運営する「Webショッピングサイト」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

[コメント]
2018年6月にカード会社からの指摘で発覚したとのことで、自社運用システムで発生したインシデントであれば、まさに運用怠慢の典型的な結末だろう。

プレスリリースを見ても原因も良く分からず、第三者調査機関も相当苦労したことが伺える。

従業員数の規模からいってIT担当者を確保するのは少々難がある気がするので、この規模の企業は自社でサーバを立てず、アマゾンや楽天市場等のECサービスを使うことが最適解だと思う。

少々のお金をケチって自前でサーバを立てても、運用管理がしっかりできなければ脆弱性を突かれて情報漏洩してしまうのがオチである。

今回の想定損害額はクレジットカード流出と、対応が後手に回った点を加味して20億円としたが、資本金の20倍の額となり、オチと言うにはあまりにもイタすぎる。

訴訟を起こされたりすると事業継続が危うくなるレベルの情報流出だが、
今回の件を教訓に何とか事業を継続してもらいたい。