株式会社キャンディルは7/20、「当社子会社が運営するオンラインショップへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ」を公表しました。子会社のキャンディルデザインが運営する「ECサイト プロショップ匠」が不正アクセスを受け、クレジットカード情報(4,040件)が漏洩したようです。
キャンディル
キャンディルは建材・家具等の補修材及びメンテナンス剤の卸売業者です。2018年に上場を果たしていて、従業員数は連結ベースでも600人以下という小ぶりな企業です。
事件の概要
「ECサイト プロショップ匠」が第三者による不正アクセスを受け、顧客のクレジットカード情報(4,040件)が漏洩した可能性があるということなんですね。で、漏洩した情報が、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」となっています。
これだけ情報が揃えば、どこのECサイトでも本人になりすまして買い物できちゃいます。実際に、開示の中でも「一部のお客様のクレジットカード情報が不正利用された可能性があることを確認した」とあります。
開示の遅さ
実はこの不正アクセスによる漏えい、今年1/26に判明しています。第三者調査機関による調査も4/2に完了しています。で、開示が7月という遅さ。公表が遅れた経緯について、同社は次のように説明しています。この対応は正しいと言えるんですかね。
「決済代行会社等と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。」