【セキュリティ事件簿#2023-326】ミライフ東日本 個人情報流出に関するお詫びとご報告 2023年8月15日


このたび、弊社ホームページの「お問い合わせフォーム」におきまして、お客さまが入力された情報を第三者が閲覧できる状態となっていたことが判明いたしました。お客さまの大切な個人情報を流出させてしまったことを深くお詫び申し上げます。

個人情報が表示された可能性のあるお客さまには、すでに個別にご連絡を差し上げております。

今回の件は、ウェブサイト運営に関し、弊社の管理監督が行き届かなかったことに起因しております。また、弊社として初めて直面した事態であったこともあり、原因究明や対応策の決定、お客さまへのご連絡に大変時間がかかってしまったことも深く反省しております。

今後はお客さまの個人情報を取り扱ううえでの責任の重さを再確認し、再発防止に努めますとともに、情報セキュリティの向上に全社を挙げて取りくんでまいります。

経緯

2023年6月24日(土)夕方、弊社ホームページのお問い合わせフォーム確認画面で、他者の情報があらかじめ入力された状態になっていると、お客さまからご指摘を頂戴しました。ホームページの管理委託先企業に連絡し、ただちにお問い合わせフォームへのアクセスを一時的に停止いたしました。

その後の調査により、ウェブページ読み込みスピードを速くするために行ったプラグインの設定変更が原因であることが判明しました。プラグインの設定を変更前の状態に戻し、テスト動作で問題がないことを確認のうえ、6月28日(水)にお問い合わせフォームを復旧いたしました。

現在は、お問い合わせフォームに入力された情報が画面上で他者に閲覧できる状態にはなっておりません。

表示された個人情報について

【表示された期間】

6月22日(木)9:30頃~6月24日(土)18:30頃

【個人情報が表示されたお客さま】

4名様

【表示された個人情報へのアクセス数】

3件(弊社および管理委託先企業からのアクセスを除いた推測値)

 【閲覧された可能性のある情報】

お名前、フリガナ、連絡先電話番号、メールアドレス、郵便番号、ご住所、お問い合わせの内容、訪問希望日時

原因

ホームページ管理委託先企業のシステム担当者が、データの読み込みに時間がかかる問題を解決するため、プラグインでキャッシュを残す設定変更をしました。この設定変更がお問い合わせフォームの入力情報に影響することをシステム担当者が認識しておらず、お問い合わせフォームに入力された情報が一時的に閲覧可能な状態となりました。

事前にテスト動作を行う検証環境や、本番変更の際の承認フローが不十分であったことが要因として考えられます。

再発防止策

これまでは、システム改修に関することにのみ、事前確認ルールを策定しておりました。今後はウェブサイト管理に関わる変更作業に際し、弊社および管理委託先企業の両社で合意した基準に則り、作業報告書の作成と確認、テストサイトでの確認、作業後の確認を行う運用ルールといたしました。

今後の対応

現在までのところ、閲覧可能であった個人情報が不正に使用された事実は発見されておりません。今後、お客さまの個人情報が閲覧されたことにより、個人情報が悪用されるなどの事態が生じた場合には、各種法令にしたがい、適切な措置を講じる所存です。

なお弊社では、お客さまから個人情報を聞き出すような営業活動はしておりません。

弊社になりすました不審な連絡にご注意くださいますようお願い申し上げます。