さて、当クラブのレッスン予約システムにおいて 2025 年 3 月 17 日にクラブ外で予約がキャンセルされるという事象が発生しました。この件について弊社として調査を進めたところ、業務委託先による不正アクセスを確認しました。今回の不正アクセスによる個人情報の流出はございませんでしたが、当クラブでは今回の事故を重く受け止め、下記の通り原因および再発防止策についてご報告申し上げます。
1.調査結果の概要と対応内容
2025 年 3 月 17 日に発生したクラブ外での予約キャンセルは業務委託先から派遣されたスタッフが担当するレッスンであり、この業務委託先より当該スタッフへ事情聴取をしたところ、他者のアカウントで複数回にわたりシステムへ不正にアクセスがなされたことが判明しました。
当該スタッフが不正アクセスに用いた他者アカウントは、同人が当クラブでのアルバイト雇用期間中に他者から入手したものであり、現在(2024 年 9 月に退社した後、業務委託として派遣勤務)に至るまで同他者アカウントを用いた不正なアクセスを行い、担当するレッスンやパーソナルトレーニングの確認やシステム上の処理を行っていたことが判明しました。
なお、当該スタッフへの事情聴取ならびに本人のスマートフォン履歴および同デバイス内記録の調査の結果、不正アクセスによってクラブの顧客情報は取り出されていないことを確認しています。
これらの調査結果を受けて、業務委託先は当該スタッフとの契約を解除。これにより同人によるクラブでの活動は終了しています。また、当該スタッフのアカウントは無効化しています。
なおクラブでは事案発生後直ぐに、全従業員のアカウントパスワードの再設定・各各 の厳重管理を指示しています。また、 アカウントを当該スタッフへ伝えたアルバイトスタッフに対しては厳重注意と指導を実施しました。さらに、システム会社に不正アクセスによる顧客情報の取り出しに関して調査を依頼し、取り出しの実態がないことを確認しました。
2.原因の特定
(1) 業務委託先スタッフの職業倫理観及び情報セキュリティ意識の欠如があったこと
(2) アカウントアルバイトスタッフの職業倫理観及び情報セキュリティ意識の欠如があったこと
(3) スタッフに対して、適切なシステム利用ルール、情報セキュリティ各秘密保持に関する意識付け、コンプライアンス遵守、および違反時のリスクに関する教育各指導が徹底されていなかったこと
(4) スタッフの就業状況や問題発生の兆候を把握するための管理各監督体制が不十分であったこと
(5)・ 定期的なシステム内パトロールやアカウントパスワードの更新が不十分であったこと
3.再発防止策
(1)情報セキュリティ体制構築に向けた業務委託先との再協議
(2)当社情報セキュリティ各コンプライアンス研修の内容見直しと強化
(3)スタッフへ教育の再徹底および管理監督体制の強化
(4)システム内パトロールならびにパスワード更新の定期実行
(5)再発防止策の効果測定および必要に応じた見直し
この度は会員の皆様にご心配をおかけするような事態を招きましたことをお詫び申し上げます。今後
はより一層のシステム管理を徹底して、会員の皆様が安心して快適にクラブをご利用いただけますよう努めてまいります。
今後ともアトリオドゥーエ Next たまプラーザをご愛顧くださいますようよろしくお願いいたします。