株式会社キャンディル 子会社ECサイトでクレジットカード情報漏洩

株式会社キャンディルは7/20、「当社子会社が運営するオンラインショップへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ」を公表しました。子会社のキャンディルデザインが運営する「ECサイト プロショップ匠」が不正アクセスを受け、クレジットカード情報(4,040件)が漏洩したようです。

キャンディル

キャンディルは建材・家具等の補修材及びメンテナンス剤の卸売業者です。2018年に上場を果たしていて、従業員数は連結ベースでも600人以下という小ぶりな企業です。

事件の概要

「ECサイト プロショップ匠」が第三者による不正アクセスを受け、顧客のクレジットカード情報(4,040件)が漏洩した可能性があるということなんですね。で、漏洩した情報が、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」となっています。

これだけ情報が揃えば、どこのECサイトでも本人になりすまして買い物できちゃいます。実際に、開示の中でも「一部のお客様のクレジットカード情報が不正利用された可能性があることを確認した」とあります。

開示の遅さ

実はこの不正アクセスによる漏えい、今年1/26に判明しています。第三者調査機関による調査も4/2に完了しています。で、開示が7月という遅さ。公表が遅れた経緯について、同社は次のように説明しています。この対応は正しいと言えるんですかね。

「決済代行会社等と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。」

婚活アプリのネットマーケティング 会員情報の一部流出に伴う特別損失を計上

婚活アプリのネットマーケティングは7/16、「特別損失の計上及び通期業績予想の修正に関するお知らせ」を公表しました。会員情報の一部流出に伴う関連費用として96百万円の特別損失を計上する見込みとなったとのこと。

情報流出

5/21、同社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーに対し、外部からの不正アクセスを受け、171万件にのぼる会員情報の一部が流出した可能性が高いという事故でしたね。

その翌々日には、コーポレートサイトの管理システムの不具合により、他の顧客の記載内容の一部が、別の顧客から閲覧できる状況になっていたという事故も起きていました。

特別損失 業績予想修正

で、同社のメディア事業における「Omiai」サービスの会員情報の一部流出に伴う関連費用として96百万円の特別損失を計上することに。顧客からの問い合わせ対応窓口設置・運営及びシステム調査並びに情報セキュリティ対策等に係る費用ということです。

この開示では、通期業績予想の修正も行われているんですが、96百万円の特別損失を計上したうえで、経常利益192百万円、当基準利益で66百万円の増益修正となりました。

「Omiai」サービスにおける新規会員獲得を目的とするデジタル広告の出稿を全面的に一時休止。この措置に伴い広告費が削減された結果、販売促進費が当初想定を下回ったことにより増益となったようです。皮肉な結果ですね。

ただし、この開示を受けて株価はあらためて売りなおされています。直前に上昇していたからですかね。これまた皮肉な結果です。

名ばかりCIO、場当たりDX

7/13付け日本経済新聞の記事に、「名ばかりCIO、場当たりDX 『情シス』消え人材不足、丸投げ変えられず」というのがありました。この記事お勧めです。思わず笑ってしまうような、「ハハ、これうちの会社や」みたいな話がたくさん出てきます(kuniはもう退職してますが)。

情報システム部門の放出

「過去のリストラで実動部隊の情報システム部門を手放し、司令塔であるはずの最高情報責任者(CIO)も名ばかりという実態がある」と書かれています。この文章の前半部分。

「日本企業におけるIT(情報技術)人材の不足は、平成バブル崩壊後の1990年代に情報システム部門が本体から切り離された影響が大きい。当時「ノウハウ集約」や「専門性の向上」といった大義名分で設立された情報子会社の多くは、コスト削減目的のアウトソーシング(外部委託)が実態だった。」とも。

そうなんですよね、コスト削減目的で子会社として切り離す。まぁ、それ以前の話として、システムがコストだと思っている経営者が多すぎるのも大問題なんですけどね。

親会社からの厳しい要求

おまけに、システムの開発においては、「開発期限は何が何でも厳守」とか、「開発費の増額は一切許さない」といったプレッシャーが掛けられ続けます。日経が同じく指摘していた「丸投げ」の実態です。丸投げゆえにユーザー側にシステムに精通した人員も育ちません。

で、いざ障害発生となると、手も足も出ない状態(どこかの銀行みたいに)になってしまうんですね。どこかの銀行の場合など、障害の責任取ってCIOが更迭されましたね。これって今まで(それなりに)一番精通していた人がド素人に交代するってことです。

日本企業のDX、狂ってしまった歯車はどう戻せばよいのでしょうか。

岡藤日産証券HD 不正アクセスの被害公表 トレードワークスも

岡藤日産証券ホールディングスは6/10、「不正アクセスによるオンライントレードシステムの障害発生に関するお知らせ(4)」を公表しました。やはり、システムをASPで提供しているのはトレードワークスだったようで、同社も同日、「当社提供システムにおける不正アクセス事象の調査結果のご報告」を公表しています。

被害の状況

第三者の外部専門機関による調査を行った結果、これまで実施した調査においては、情報へのアクセスや収集、内外部への転送等、流出を示唆する痕跡は確認できなかったということです。以下、判明している事実です。

不正アクセスの状況全般、データ通信記録、個人情報の保管状況、及びデータ流出経路の可能性の考察の結果、不正アクセスにより暗号化されたファイルに個人情報は含まれていなかった。

持ち出し可能であったデータは存在するものの、これらが持ち出されたという痕跡は確認されなかった。データベースに保管された個人情報が持ち出された可能性は極めて低いものであると考えられる。

システムの状況

ファイルを暗号化されるという被害はあったものの、個人情報は無傷で、持ち出された可能性もほぼなし。どうやらそういうことのようです。まぁ、不幸中の幸いでしたね。

ただし、その後のシステムの状況についてですが、「システム復旧、サービス再開時期につきましては、決定次第、改めてお知らせいたします。」となっています。トレードシステムはまだ復旧してないんですね。

婚活アプリのネットマーケティング またもや情報流出

5/21、「不正アクセスによる会員様情報流出に関するお詫びとお知らせ」を公表したネットマーケティング。今度は同社のコーポレートサイトで、お問い合わせフォームに顧客が記載した内容が、後から利用した他の顧客に閲覧可能な状態となっていました。

おさらい

先日、当ブログで取り上げたのは、同社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーが不正アクセスを受け、171万件に及ぶ顧客の年齢確認書類の画像データが流出したという事故でした。

コーポレートサイト

そして今回は同社コーポレートサイトのお問い合わせフォームが問題に。つまり不正アクセスとは何の関係もないわけです。5月19日(水)11時~ 5月22日(土)15時までの間に同フォームを利用した顧客、37名が被害に遭っています。

流出した個人情報(あとから来た人に見られた情報)は、①会社名、②部署名、③会社URL、④お名前、⑤フリガナ、⑥電話番号、⑦メールアドレス、⑧お問合せ内容の一部、の計8項目だそうです。

原因は、サーバー増強を目的とするサーバープラットフォームの移行に伴うシステム設定の不備によって、お問い合わせフォームに投稿したキャッシュが残ってしまう状況となってしまったため、と説明されています。5/23時点で復旧しているようです。

不正アクセスによる会員情報流出に関しては、しっかり開示をしていましたが、続いて発生したお問い合わせフォームでの情報流出は開示せず。同社のホームページでの公表のみでした。171万件と37件ですからね。そこまでしなくてもいいだろうという判断、分からないでもないですが、、、。

悪いニュースほど、しっかり開示して、そのことをもって経営として襟を正す姿勢。kuniは大事だと思いますよ。