このたび、弊社運営のオンライン通販サイト「Honya Club.com(以下、ECサイトといいます)」に導入していた画面表示変換サービス(株式会社ショーケース提供)に対して第三者による不正アクセスがあり、お客様がクレジットカード(以下、カードといいます)の情報を入力した際、第三者にカード情報(427件)を不正取得された可能性があることが判明いたしました。
お客様をはじめ、関係者の皆様に多大なるご迷惑とご心配をおかけしておりますこと、心より深くお詫び申し上げます。
カード情報が流出した可能性のある対象のお客様には、電子メールにて弊社よりお詫びとご説明のご連絡を個別に実施しております。電子メールをお届けできなかったお客様には、書状にてご連絡させていただきます。
既に弊社では株式会社ショーケースのサービスの切り離しを実施しております。
また、第三者調査機関によるフォレンジック調査を実施し、当該サービス以外の理由による個人情報の漏えいが無いことおよび本ECサイトのプログラム改ざん、サイト全体への不正アクセスが存在しないことを確認いたしました。
なお、弊社では複数のサイトを運営しておりますが、今回の対象はオンライン通販サイト「Honya Club.com」のみとなっております。
弊社では、このたびの事態を厳粛に受け止め、お客様には誠心誠意、適切な対応をさせていただくとともに、再発防止の対策を徹底してまいります。
本件に関する事案概要と弊社の対応につきまして、下記のとおりご報告いたします。
1. 事案概要
(1)事象及び原因
ECサイトのクレジットカード情報入力画面に導入していた、株式会社ショーケースが提供する画面表示変換サービスのプログラムが、第三者によって改ざんされ、カード情報が不正に取得されておりました。
なお、同社による発表につきましては、こちらをご参照ください。
▼株式会社ショーケース 不正アクセスに関するお知らせとお詫び(2022年10月25日)URL:https://www.showcase-tv.com/pressrelease/202210-fa-info
(2)流出対象のお客様と流出した情報 等
2022年7月19日から同年7月28日までの間に、ECサイトにてカード情報を入力してご購入いただいたお客様424人が対象です。※流出対象者の皆さまには、弊社から個別にご案内を実施しております。※商品の店舗受取、宅配の代引き支払いは対象ではありません。
(3)流出したカード情報
・カード番号・カード有効期限・セキュリティコード
2. 発覚と対応の経緯
- 2022年7月28日、株式会社ショーケースから、ECサイトを利用したお客様のカード情報の流出懸念について連絡を受けました。また、本件の全容解明および被害状況の把握に向け、社内調査を実施いたしました。
- 2022年8月3日、株式会社ショーケースが、手口と原因、流出対象の特定に向け外部専門会社によるフォレンジック調査を開始しました。
- 2022年8月10日、ECサイトにおいてクレジットカード決済を停止しました。
- 2022年9月20日、当社にてクレジットカード情報漏えい調査機関によるフォレンジック調査を開始しました。
- 2022年10月27日、クレジットカード情報漏えい調査機関による当社のフォレンジック調査が完了しました。
3. 弊社の対応
(1) 警察への報告
2022年8月5日、神田警察署に報告いたしました。
(2) 行政機関への報告
2022年8月3日、個人情報保護委員会に報告いたしました。
(3) お客様への対応
2022年11月15日から、流出対象のお客様に対し、お詫びと説明を開始しました。
4. お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
個別にご連絡をさせていただいたお客様におかれましては、誠に恐縮ではございますが、以下をご確認いただけますようお願い申し上げます。
(1) カードの利用履歴の確認
身に覚えのないカードの利用履歴がないかご確認をお願いいたします。流出した可能性があるカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各カード会社へ不正利用の監視強化を依頼しております。万が一、カードの明細書に身に覚えのない請求がございました場合は、お手数ではございますが、カード裏面に記載のカード発行会社へお問い合わせいただきますようお願い申し上げます。
(2) カード再発行をご希望される場合のご相談
また、お客様がカードの再発行をご希望される場合、カード裏面に記載のカード発行会社へご相談いただきますようお願いいたします。カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりカード会社に依頼しております。その他、ご不明点がございましたら、弊社専用コールセンターまでご連絡をお願い申し上げます。
2022年7月28日の漏洩懸念発覚から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
6. 再発防止策ならびにECサイトでのクレジットカード決済の再開について
弊社はこのたびの事態を厳粛に受け止め、本件の被害拡大の防止に努めるとともに、今後の再発防止策の徹底、およびより一層の情報セキュリティ対策の強化に取り組んでまいります。なお、ECサイトでのクレジットカード決済再開日につきましては、決定次第、改めてECサイト上にてお知らせいたします。このたびは、お客様およびご関係者の皆さまに、多大なるご不安ご迷惑をお掛けしておりますことを重ねてお詫び申し上げます。