拝啓 平素は格別のご高配を賜り厚く御礼申し上げます。
このたび、弊社が運営管理しておりますプライムツリー赤池において、お取引先様の従業員の皆様の個人情報が保存されたUSBメモリを紛失したことが判明しました。事案の概要につきましては、下記のとおりでございます。
お取引先様ならびにその従業員の皆様には多大なるご迷惑とご心配をおかけしますこと、深くお詫び申し上げます。今回の事案を重く受け止め、情報の厳正管理の徹底を図り、再発防止に努めてまいります。
1.紛失判明日
2022 年 9 月 24 日(土)
2.紛失場所
プライムツリー赤池SC管理事務所
3.紛失したお取引先従業員様の情報
2019 年 9 月以降にプライムツリー赤池にて従業員登録をされた、テナント従業員の皆様、ならびに警備・清掃・設備保守・インフォメーション・会計業務・販促業務等を委託しておりました協力会社様の従業員の皆様の「氏名」「ユーザID」「所属番号」「資格情報」「ID番号」
お取引先様よりお預かりしている従業員の皆様の個人情報は「氏名」「生年月日」「性別」となります。紛失したUSBメモリ内には、このうち氏名のみが記載されたデータを保存しており、当該データからは勤務先を知ることはできません。このデータは館内の電子錠を開錠するためのセキュリティーカードの発行に使用しておりました。その他の情報は以下の内容となります。
「ユーザID」:登録作業順で付番される8桁の数字
「所属番号」 :区画ごとに設定されている3桁又は4桁の数字(来店客には非公開)
「資格情報」 :どの扉を開錠する権限があるかを示す2桁の数字
「ID番号」 :過去発行して、作成時点で使用していないカードの番号(8桁)を付番
4.紛失した個人情報の数
最大 3,274 名
このうち、2022 年 10 月 2 日時点でプライムツリー赤池に在籍している 1,654 名の従業員の皆様へは、お取引先店舗責任者様を通じてご報告とお詫びをさせていただいております。同日付で在籍していない最大 1,620 名の従業員の皆様については、上記3.記載の通り当方にて個別のご連絡先等を把握していないことから「プライムツリー赤池の公式サイト」「セブン&アイ・クリエイトリンクのコーポレートサイト」への公表をもってご報告とお詫びとさせていただきます。
5.紛失が判明した経緯および情報漏洩の可能性
2022 年9月 24 日(土)、弊社従業員が、セキュリティーカードの作成業務を行う際、当該業務専用PC(オフライン仕様)へのデータ移行用のUSBメモリが所定の保管場所に無いことに気づきました。その後弊社従業員による捜索並びに関係者からの聞き取りなどを、数度に渡り行いました結果、発見に至らず紛失したものとの判断にいたりました。
なお、これまでに当該個人情報が不正に利用された事実は確認されておりません。
6.発生原因
- USBメモリ等の外部媒体の使用や保管におけるルールの不徹底。
- データが適切に消去されていなかったこと(当該作業1回当たりにUSBメモリに保存する個人情報は数十名様分で、本来このデータは作業完了時消去すべきところ、消去されることなくUSBメモリの使用を開始した 2019 年9月以降のデータが蓄積された結果、大量のデータの紛失となりました)。
7.再発防止策
このたびの事態を厳粛に受け止め、再度全社員に個人情報の厳格な管理を改めて指導・徹底してまいります。
セキュリティーカードの作成業務においては、業務フローを見直しUSBメモリ等の外部媒体の使用を禁止致しました。
その他業務におけるUSBメモリ等の外部媒体の使用についても、管理体制の再構築とデータの保存や消去に関するルールの再徹底を行い情報管理の一層の強化を図ります。