【セキュリティ事件簿#2024-304】バリューマネジメント株式会社 「祇園祭観覧席付ご宿泊プラン」募集において 個人情報が閲覧可能な状態になっていた事象について 2024/7/11

 

この度、バリューマネジメント株式会社が企画し、三井住友トラストクラブ株式会社がダイナースクラブ会員様にご案内した「祇園祭観覧席付ご宿泊プラン」に申込フォームを通じて、応募された会員様の個人情報が閲覧できる状態になっていたことが判明しました。対象となるお客様および関係者の皆様にご迷惑とご心配をおかけする事態となりましたことを、深くお詫び申し上げます。

■概要

令和6年7月6日(土)ダイナースクラブ会員向けにご用意した「祇園祭観覧席付ご宿泊プラン」をご覧になったダイナースクラブ会員様より、三井住友トラストクラブ株式会社宛に、抽選応募フォームにて他の応募者の個人情報が閲覧できる旨の連絡が入りました。

令和6年7月8日(月)午前、三井住友トラストクラブ株式会社より当社へ報告と調査依頼の連絡が入り、応募フォームの調査を進めた結果、弊社のフォーム設定の不備により、フォーム編集ページにアクセスでき、他の応募者の個人情報(応募者が応募時に入力した名前、メールアドレス、電話番号)が閲覧出来る状態になっていました。

該当の応募フォームはすでに削除いたしました。

■閲覧可能であった個人情報と期間

・応募者333名の氏名、電話番号、メールアドレス

・令和6年6月14日(金)14時30分から、7月8日(月)午前10時半頃

■原因

今回、オンラインフォーム作成ツールにGoogleフォームを使用し抽選応募受付を行っております。 お申し出いただいた⽅の内容を拝⾒し、第三者では閲覧できないはずのフォーム編集ペー ジが閲覧可能になっており、申込フォームの設置(フォーム編集ページのアクセス権限の設定)に不備があったことが原因と考えられます。

■今後の対応

再発防⽌のため、より⾼いセキュリティ対策が施されたフォームシステムの利⽤、 フォーム作成・個⼈情報関連を扱う業務におけるマニュアルの改善、ならびに当社従業員 全員に向けて個⼈情報保護及び情報セキュリティポリシー等の周知徹底に務めてまいります。

リリース文アーカイブ