「第三者によるランサムウェア感染被害および経過に関するお知らせ」(2024 年2月 22 日公表)にてお知らせしておりますとおり、当社グループの一部サーバーが暗号化される等のランサムウェア被害が発生いたしました。
外部専門機関による調査の結果、外部への情報流出の痕跡は見当たらず、個人情報を含む当社グループ保有情報が外部へ漏えいした可能性は極めて低いと考えられます。しかしながら、現時点で個人情報の漏えいは確認されておりませんが、閲覧された可能性を完全に否定することは困難であることから、法令上の通知対象となる方には順次ご案内差し上げる予定です。
お客さま、お取引先さま、関係先の皆さまに多大なるご心配とご迷惑をおかけすることになりましたこと、また調査に相応の時間がかかりましたことを深くお詫び申し上げます。
また、本件につきましては、個人情報保護委員会に法令上の報告を行っております。皆さまには重ねてお詫び申し上げますとともに、下記のとおりお知らせいたします。
1.本件の概要等
2024 年2月 15 日、当社グループ会社のサーバーに対して第三者による侵入が検知され、被害拡大防止を最優先し、直ちに当社グループの全ネットワークを遮断いたしました。同日午前に対策本部を立ち上げ、外部専門家の助言を受けながら、影響の範囲等の調査と復旧対応を開始し、同日午後には警察へ相談しております。
外部専門機関に調査を依頼したところ、外部からの通信の受け口となる通信装置(VPN装置)を狙って直接当社グループのサーバーに侵入され、一部データが使用不能になったとの報告を受けております。また、被害を受けたサーバーの通信記録を調査した結果、外部への情報流出の痕跡は見当たらず、現時点で当社グループが保有する個人情報の漏えいの事実や、不正利用による被害、攻撃者等による当社情報の公開についても確認されておりません。
2.今後の対応
現時点で、当社グループが保有する個人情報の漏えいは確認されておりませんが、閲覧された可能性を完全に否定することは困難であることから、すでに個人情報保護委員会へ報告のうえ、今後、法令上の通知対象となる方につきましては、順次「ゆめアプリ」でのお知らせ、郵送のいずれかの方法にてお知らせする予定です。
なお、クレジットカード情報は今回被害を受けたシステムとは別システムで運用しているため漏えいしておりません。
また、一部使用不能となったデータに業務上使用しておりました当社グループ共通メールサーバーの情報が含まれることが確認されました。暗号化により内容および対象となる方を特定することが難しい状況のため、本公表にてお知らせいたします。
3.個人情報について
本件の対象となる個人情報は以下のとおりです。対象となる方には順次個別に通知させていただきます。
<現時点で漏えいは確認されていないが、閲覧された可能性を完全に否定できない個人情報>
ゆめカード会員情報の一部 :
最大 7,782,009 件 ※2024 年2月 15 日以前に入会の会員さま(氏名・電話番号・住所・生年月日・性別・ポイント管理番号)※クレジットカード情報は今回被害を受けたシステムとは別システムで運用しているため漏えいしておりません。
株式会社イズミテクノ(連結子会社)におけるパート・アルバイト応募者情報の一部:
最大 2,990 件 ※2023 年6月1日から 2024 年2月 14 日までにご応募いただいた方(氏名・電話番号・住所・生年月日・性別・メールアドレス)電話番号や住所等の変更で通知が難しい場合は、通知に代わるべき措置として、本公表および当社ホームページ上の公表でのご対応といたしますこと、ご了承いただきますようお願いいたします。
<毀損された個人情報>
当社グループ共通メールサーバーに保有していた業務上使用していたメール履歴:
件数不明(氏名・電話番号・住所・メールアドレス)
※当社ホームページ経由でのお客さまからのお問い合わせへの返答は、今回被害を受けたシステムとは別システムで運用しているため漏えいしておりません。
4.業績への影響
今回の被害が当社グループの 2024 年2月期業績に及ぼす影響については、精査中ですが軽微であると考えております。また、翌期以降の業績に及ぼす影響については、引き続き精査のうえ、開示が必要な場合は速やかに公表いたします。
お客さま、お取引先さま、関係先の皆さまに多大なるご心配とご迷惑をおかけすることになりましたこと、重ねて深くお詫び申し上げますとともに、このたびの事態を真摯に受け止め、引き続き外部専門家と連携のうえ、セキュリティと監視体制のさらなる強化を実施し、再発防止に努めてまいります。
【2024/2/22リリース分】
【2024/2/16リリース分】