メタップス 不正アクセス 社内調査の結果

メタップスは2/28、「(開示事項の経過)当社子会社における不正アクセスに関するお知らせ」を公表しました。顧客のクレジットカード情報が流出した可能性があることが判明し、調査を進めてきた件の調査結果です。

おさらい

メタップスは1/25、子会社である株式会社メタップスペイメントが運営するクレジットカード決済機能において、第三者からの不正アクセスが確認され、顧客のクレジットカード情報が流出した可能性があると公表しました。あれから約1ヶ月が経過し、今回、調査結果を公表です。

調査結果の概要

同社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、不正アクセスが行われました。2021年8月2日から、2022年1月25日にわたって攻撃を受け、決済情報等が格納されているデータベースにまでアクセスされ、個人情報を含む情報が外部に流出したということです。

決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出。トークン方式クレジットカード決済情報では、クレジットカード番号数:460,395 件(カード番号、有効期限、セキュリティコード)が流出の可能性あり。

決済情報データベースからは、クレジットカード決済 434件や、コンビニ決済 109件、ペイジー決済 17件、電子マネー決済 33件が、判明した情報流出件数だそうです。コンビニ決済やらペイジー決済、、、kuniも対象期間中に使用してるぞ。妙なことに巻き込まれなければ良いのですが。

上記の情報流出が懸念される顧客については、同社決済サービスを提供している加盟店を通じて電子メール等により順次連絡していくとのこと。やれやれ、皆さんも心当たりあったりします?

HIS(エイチ・アイ・エス) 子会社で不正アクセスによる情報漏えいも

HISは2/8、「子会社ファイルサーバへの不正アクセスによる個人情報流出の可能性に関するお詫びとお知らせ」を公表しました。っていうか、こっそりと公表していました。というのが正しいかもしれません。適時開示は行われておらず、kuniも気付きませんでした。

GoTo補助金の不正受給

連結子会社ジャパンホリデートラベルと、ミキ・ツーリストの2社において、GoToトラベル事業の受給対象とならない取引が判明したHIS。両社併せて、合計6億8300万円の不正受給が発覚したという事件でした。

この事件が最初に開示されたのが、昨年の12/9。事案の発覚と調査委員会の設置を公表しました。その後、12/24に調査委員会からの報告を公表して、この件は一件落着ということになっていました。

子会社への不正アクセス

そして今回、ベトナム現地法人において、ネットワークに対する第三者による不正アクセスを受けたことを確認。最大1,846名の個人情報が不正に引き出された可能性があると判明しています。

ベトナムと聞くとやや他人事のようですが、引き出された個人情報は、2016年8月〜2020年2月の期間に、エイチ・アイ・エスを利用してベトナムへ出発した顧客等なんですね。日本人の個人情報がメインってことです。なんで正式に開示しないんかなぁ。

不正アクセスを受けたのが、昨年10/25。専門家による解析で情報漏洩の可能性が確認されたのが、12/20だそうです。そう、まさに補助金の不正受給の調査と並行して起きていたってことですね。ダブルで不祥事の公表、、、は避けたかったってこと?

社外取締役の責任と報酬

2/21の日本経済新聞に、「お飾り社外取 許されない 『不正知らなかった』 でも監督責任 企業統治へ要求強まる」という記事がありました。不祥事を起こした企業の社外取締役に対する目が厳しさを増している、といった内容の指摘です。まぁ、当然そうなってきますわなぁ。

社外取締役の責任

従来は「事情を知らなかった」などとして責任を問われないことが多かったが、最近は第三者委員会が責任を追及する例も目立ち始めた、とのこと。スルガ銀行辺りもそうでしたね。元巨大IT企業出身の社外取締役も、超有名な弁護士の監査役も、全く責任を追及されませんでした。

日経では、社外取の責任を追及され始めた企業として、三菱電機や東芝が例に上がっていました。まぁ両社は単発の不祥事ではありませんしね。何度も不正に気付く機会が会ったろうという見方。これくらいの名門、大企業になると、世間の目も厳しくなるといった一面もありそうです。

社外取締役の報酬

日経では経営からの独立性についても触れていました。そのため、社外取の選定方法にも問題があるという意見。書かれていることはまったくその通りだと思うんですが、そこには彼らの報酬の問題もあります。

三菱や東芝といった超大企業はともかく、上場企業の社外取締役って、実はその報酬って、数百万円(年間)ってレベルなんですよね。社外監査役に至っては2~300万円といったレベルだったりします。

下手すると若手従業員の年収とほぼ同じで、不祥事が起きたときには責任だけは取らされる。これでは社外取締役を引き受ける人はいません。その責任をしっかり追及するのであれば、改革すべきは、まず、報酬からだと思います。

MRT株式会社 自己株式の取得? 中止?

MRTは2/24(16:30)、「自己株式取得に係る事項の決定に関するお知らせ」を公表しました。が、しかし同日の22:30、「自己株式取得の中止に関するお知らせ」も公表。なに?って感じです。わずか6時間で前言撤回という事態に。

MRT株式会社

MRTはインターネットを活用した医療人材紹介を展開する企業。東京大学医学部附属病院の医師の互助組織を母体としてスタート。医師を中心とする医療分野の人材ネットワークを強みとして事業基盤を確立してきました。2014年に東証マザーズ上場を果たしています。

適時開示の内容

16:30 「自己株式取得に係る事項の決定に関するお知らせ」を公表。経営環境の変化に対応した機動的な資本政策の遂行、資本効率の向上及び株主還元を図るため、自己株式を取得するもの。と説明されていました。

22:30 世界経済の混乱が長期化されるおそれがある中で、医療を支えるための事業資金の確保など諸般の事情を総合的に勘案し、再度開催した本日の取締役会で自己株式の取得を中止することとした。と説明されています。

ロシアのウクライナ侵攻

前言撤回の背景は、ロシアがウクライナへ侵攻したことが伝わってきての政策変更なんでしょうね。経営の動揺が伝わってきますが、この事態は十分に予想できた展開。そもそもなぜあのタイミングで自己株式取得を公表したのかって感じです。

コロナの影響で需要が急拡大し、これを材料に今年9月には同社株価は2,400円台まで買われていたものの、この2/24にはとうとう1,000円割れに。この株価低迷を何とかするために自己株式の取得を決めたけど、、、。直後にウクライナ侵攻。経営陣はみなお医者さんなんで、マーケットでの駆け引きなどとは無縁だったんでしょうね。ちょっと不細工でした。

株式会社ストリーム 時間外労働で地裁が賠償命令

2/24付け日本経済新聞の記事に、「残業労働223時間、地裁が賠償命令 ネット通販企業に」というのがありました。このネット通販企業というのは通販サイト「ECカレント」などを運営しているストリームという会社です。

株式会社ストリーム

ストリームは家電、PCなどのインターネット通販事業の売上高が全体の約9割を占める企業。ビューティー&ヘルスケア事業、その他事業も手掛けています。東証2部上場企業で、ヤマダホールディングスの持分法適用関連会社ですね。

事案の概要

ストリームの物流センターで働いていた仙台市の40代男性が、1カ月223時間超の時間外労働でうつ病を発症したとして、約6,887万円の損害賠償を求めた訴訟の判決。東京地裁は2/22、安全配慮義務に違反したと認め、同社に約2,425万円の支払いを命じました。

男性は2010年に入社し、さいたま市の物流センターに勤務していた13年11月に147時間超、翌12月には223時間超の時間外労働に従事し、14年2月ごろ、うつ病を発症。その後退職して労災認定を受けていました。かなりブラックですね。

相場操縦事件も

「ECカレント」というサイトはよく知ってましたが、ストリームという会社については知りませんでした。調べていると、同社では「株価操縦容疑で元社長が逮捕へ」、なんて記事が出てきました。インサイダーでもあるのかな。他にも金融ブローカーみたいな人達が絡んでいたようです。逮捕者6人とか。

この株価操縦が行われていたのも、2014年の夏ごろみたいです。株価操縦やらに関与していた経営陣の下で、従業員は擦り減っていってたんですね。ストリームの現在株価は120円台。その後も経営はうまくいってないようです。