このたび、弊社が運営する「東京シャツ公式オーダーサイト」(以下「本件サイト」といいます。)が第三者による不正アクセスを受け、本件サイトのご利用のお客様および弊社店舗のタブレットでオーダーシャツをご注文いただいたお客様のクレジットカード情報等の個人情報(最大で2,341件、2,218名)が流出した可能性があることが判明いたしましたので、概要を、下記の通りご報告いたします。
お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。なお、クレジットカード情報等の個人情報が流出した可能性のあるお客様には、本日より、書状または電子メールにてお詫びとお知らせを個別にご連絡申し上げております。
お客様におかれましては、クレジットカードのご利用明細に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のクレジットカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。なお、弊社が別途運営する「東京シャツ公式通販サイト」(https://shop.e-shirt.jp/shop/default.aspx)は、本件サイトと完全に分離されており、クレジットカード情報等の個人情報の流出懸念は確認されておりません。
記
1.経緯
2022年3月1日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日から弊社が運営する本件サイトでのカード決済および本件サイトの公開を停止しております。また、当該クレジットカード会社からの連絡を受けてから間もなく、第三者調査会社による調査も開始いたしました。2022年4月21日、当該調査会社による調査が完了し、2019年4月2日から2022年3月8日の期間に本件サイトで購入されたお客様のクレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。加えて、お客様のクレジットカード情報以外の個人情報についても、その流出の可能性があることを確認いたしました。以上の事実が確認できたため、本日の発表に至りました。
2.個人情報流出状況
(1)原因
弊社が運営する本件サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、Webアプリケーションの改ざんが行われたため。
(2)個人情報流出の可能性があるお客様
①本件サイトにおいてクレジットカード情報を入力し決済されたお客様について(決済ボタンを押したものの何らかの理由で決済が完了しなかったお客様を含みます)
2019年4月2日から2022年3月8日の期間中に本件サイトにおいてクレジットカード情報を入力し決済ボタンを押されたお客様(1,114件、991名)であり、これらのお客様について流出した可能性のある情報は以下のとおりです。
・クレジットカード名義人名
・クレジットカード番号
・クレジットカードの有効期限
・クレジットカードのセキュリティコード
・IPアドレス
・氏名
・性別
・住所
・電話番号
・メールアドレス
②本件サイトにおいて会員登録をされたものの、クレジットカード決済をされていないお客様について
2019年4月2日から2019年5月26日の期間中に本件サイトにおいて会員登録をされたものの、クレジットカード決済をされていない(すなわち、決済ボタンを押していないが、会員登録のみ行った)お客様は33名であり、これらのお客様について流出した可能性のある情報は以下の通りです。
・氏名
・性別
・住所
・電話番号
・メールアドレス
③弊社の店舗においてタブレットにてオーダーシャツをご注文いただいたお客様について
弊社は、2021年10月1日以降、弊社の店舗においてタブレットにてオーダーシャツをご注文いただいたお客様の個人情報を本件サイト内のサーバーに保存していたため、同日から2022年3月8日の期間中に弊社の店舗においてタブレットにてオーダーシャツをご注文いただいたお客様1,194名に関する以下の個人情報が流出した可能性があります。
・氏名
・生年月日
・性別
・住所
・電話番号
・メールアドレス
上記①、②および③に該当するお客様については、別途、書状又は電子メールにて 個別にご連絡申し上げます。お客様の住所またはメールアドレスの変更等により、弊社からお客様にご連絡できない場合も考えられるため、弊社運営サイトで公表させて頂きました。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、クレジットカード情報が流出した可能性のあるクレジットカードによる取引のモニタリングを実施し、不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料等につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。また、今回の件につき、弊社から個々のお客様にクレジットカードに関する情報(カード番号、カード会員名、有効期限等)をお聞きすることは一切ございません。
4.公表に至るまでの経緯
個人情報の流出の疑いを認識した時点でお客様にご連絡し、注意を喚起することとともにお詫び申し上げることも検討いたしましたが、クレジットカード会社とも連携、協議した結果、無用な混乱を避ける観点から、対外公表は第三者調査会社の調査結果を待ってから行うことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策および本件サイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。改修後の本件サイトの再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2022年3月17日に第一報を報告済みであり、その後逐次報告しております。また、所轄警察署にも2022年5月27日に状況を報告しており、今後捜査にも全面的に協力してまいります。
6.東京シャツ公式通販サイトについて
弊社が別途運営する東京シャツ公式通販サイト(https://shop.e-shirt.jp/shop/default.aspx)のシステム環境は本件サイトと完全に分離されており、公式通販サイトにおいて本件サイトで確認された脆弱性は認められず、公式通販サイトにおいてはクレジットカード情報等の個人情報の流出懸念は確認されておりません。