【セキュリティ事件簿#2023-036】株式会社ジェイ・エス・ビー 当社従業員によるご契約者様等の個人情報の漏洩に関する追加のご報告について 2023年2月2日


2023年1月25日付の「当社従業員によるご契約者様等の個人情報の漏洩について」でお知らせいたしましたとおり、従業員による当社の管理物件等に係るご契約者様等の個人情報の一部漏洩の可能性があることが判明し、ご契約者様等や株主の皆様をはじめとする関係者の皆様には多大なご迷惑及びご心配をお掛けすることとなり、重ねて深くお詫び申し上げます。

その後の社内調査により現時点で確認できた事項につき、以下のとおりご報告申し上げます。 

1.漏洩が確認された個人情報
約29,000件の顧客情報。
なお、機微情報、クレジットカード情報、金融機関の口座情報等、決済に関する情報は含まれておりません。 

2.発覚と対応の経緯
  • 2023年1月10日(火)頃より、当社と全く関係のない第三者により、ご契約者様等に対して、当社のブランドを騙ったウォーターサーバー、電気、インターネットに関する勧誘がされている等、33件の問い合わせが当社に寄せられ、事態把握も含め勧誘元と思しき業者へ直接調査を開始。

  • 2023年1月20日(金)
    社内調査の結果、当社従業員が不正な方法により顧客情報を抽出し、外部に漏洩させた可能性が高いことが判明。

  • 2023年1月23日(月)
    本件に係る対策本部を設置し、外部専門家協力のもと全容把握へ向け社内調査を実施。

  • 2023年1月24日(火)
    関係機関への報告及び警察への相談を行う。 

  • 2023年1月25日(水)
    「当社従業員によるご契約者様等の個人情報の漏洩について」を公表し、注意喚起を行う。

  • 2023年1月27日(金)夕刻
    漏洩させた疑いのある従業員本人に外部専門家を交えた事実確認を実施。
    不正な方法による顧客情報の抽出及び第三者への漏洩の事実を認める。

  • 2023年1月27日(金)~2023年2月1日(水)
    従業員本人による事実確認を受け、漏洩の判明した顧客情報の規模及び範囲の特定作業を実施。

  • 2023年2月2日(木)
    本日のご報告に至っております。なお、詳細につきましては、警察の捜査に影響するため、開示を控えさせていただきます。 
3.今後の対応
今般の情報漏洩に伴い、漏洩の対象となりましたご契約者様等へ個別に書面にてご連絡及びご説明をさせていただきます。
漏洩した情報に伴う二次的被害防止を最優先とする取り組みを開始しており、漏洩した情報を入手した第三者に対して、当該情報を使用した勧誘行為の停止を申し入れ、応諾いただく等、とりうる措置を順次進めております。
また、33件の問い合わせ発生に対する上記の措置等により、2023年1月20日以降、現時点に至るまで、ご契約者等より、新たな勧誘行為や金銭的な被害を受けたとのご報告は0件となっております。
なお、今後、本件につきましては、警察と連携し事態の全容解明に努めてまいります。 

4.顧客情報漏洩の原因
顧客管理システムへ不正な方法によりログイン後、漏洩の対象となる情報を抽出し、データを外部へ持ち出したことが直接的な発生原因であることを確認しております。

5.再発防止について
現時点におきまして、全社を対象として、顧客管理システムの一部機能の使用制限措置等、セキュリティ強化を実施いたしました。
今後につきましては、今般の事態を厳粛に受け止め、当該システムのセキュリティの見直し、更なるセキュリティ対策の強化を図ってまいります。
また、社内にて改めて情報管理に関するルールの徹底を周知するとともに、個人情報保護に関する教育を継続的に実施してまいります。