事件概要
東急スポーツシステム株式会社は2026年3月、同社が運営するフィットネスクラブ「アトリオドゥーエ Next」の会員管理システムにおいて、アルバイトスタッフの誤操作により個人情報に関する事案が発生したと発表した。
同社によると、会員からログインに関する問い合わせを受けた際、誤って別の会員アカウントを操作し、パスワード変更や一部情報の上書きが行われたという。
その結果、本来とは異なる会員に予約通知が送信され、他の会員の個人情報を知り得る状況が発生した。
調査の結果、当該会員以外への情報流出は確認されておらず、個人情報保護委員会への報告も完了している。
本記事では、同社が公開した公式リリースをもとに発表内容を整理して掲載する。
分析
この事件からわかること
- 顧客情報を扱うシステムでは操作権限の管理が重要になる
多くの事例では、アカウント情報の変更や更新を行える権限を誰に付与するかが、情報管理の重要なポイントとなる。 - 本人確認の手続きが運用面の重要な要素となる
会員情報の変更やパスワード更新などの場面では、利用者と担当者双方で確認を行う運用が求められることが多い。 - インシデント発覚後は影響範囲の確認が行われる
ログ確認やシステム調査により、どの情報が影響を受けたのかを特定する対応が一般的に実施される。 - 再発防止策として権限見直しや教育強化が行われる
多くの企業では、権限管理の見直しや従業員への研修強化などを通じて再発防止策を進めるケースが見られる。
公式発表(アーカイブ)
2026年03月13日リリース分
平素よりアトリオドゥーエ Next をご利用いただき、誠にありがとうございます。
このたび、当クラブの会員管理システムにおいてアルバイトスタッフの誤操作が発生し、一部の会員情報が別の会員情報に上書きされ、他者が個人情報を知り得る状況となる事案が発生いたしましたことをご報告します。
■ 発生した事案の概要
2026年1月10日、フロントにて会員A様よりログインに関するお問い合わせをいただいた際、アルバイトスタッフが誤って別の会員B様のアカウントを操作し、パスワード変更および一部情報の上書きを行ってしまいました。
その後、本来とは異なる会員B様に予約通知が送信されたことで、当該事案が判明いたしました。
尚、システム会社による調査を実施し、会員A様以外への情報流出がないことを確認しており、個人情報保護委員会への報告を完了しております。
■ 原因について
・アカウント情報の更新権限を便宜上、社員のみならずアルバイトスタッフへも付与したため
・アカウント情報の変更手続き時、2者(会員様とアルバイトスタッフ)による本人確認の運用が不徹底であったため
■ 再発防止策
・アカウント情報の更新権限を社員のみに限定する
・本人確認手続き時、会員様と社員双方による「個人情報変更確認書」を新たに導入する
尚、管理・監督体制の強化および運用ルールの継続的な見直しを行うとともに、情報セキュリティおよびコンプライアンス研修の強化を推進してまいります。
当社では、今回の事案を厳粛に受け止め、再発防止と情報管理体制の一層の強化に努めてまいります。
今後も、安心してクラブをご利用いただける環境づくりに真摯に取り組んでまいりますので、引き続きアトリオドゥーエ Next をご愛顧賜りますようお願い申し上げます。
■ 本件に関するお問い合わせ
東急スポーツシステム株式会社
個人情報お問い合わせ窓口 TEL:03-3477-8622
受付時間:10:00~18:00(※土日祝祭日および夏季・年末年始を除く)