タリーズオンラインへの不正アクセス、クレジットカード情報含む9万人超の個人情報流出か
2024/10/16 行政対応, 情報セキュリティ, 個人情報保護法, 外食
はじめに
タリーズコーヒージャパン株式会社は、10月3日、同社が運営するオンラインストアに対する第三者からの不正アクセスにより、9万人以上の個人情報が流出したおそれがあるとの調査結果を発表しました。
漏洩した情報の中には、5万件以上のクレジットカード情報も含まれている可能性があるということです。
タリーズコーヒージャパンは、今年5月30日に不正アクセスの被害を公表し、以後、調査に乗り出していました。
タリーズオンラインサイトに不正アクセス
不正アクセスが発覚するまでの経緯とその後の対応は以下のとおりです。
(1)今年5月20日、警視庁より、タリーズコーヒージャパンが運営するオンラインサイト「タリーズ オンラインストア」を利用した客のクレジットカード情報が漏洩している可能性などを指摘される。指摘を受け、タリーズコーヒージャパンは、カード決済をすぐに停止。
(2)5月23日、オンラインストア自体を一時閉鎖する。
(3)情報漏洩の可能性があったため、5月30日、会社ホームページやメディアを通じて発表を行う。
(4)その後、会社は第三者調査機関にフォレンジック調査を依頼し、被害状況の調査を実施。
(5)調査の結果、これまでに会員登録を行った約9万2000人の氏名、住所、電話番号などの個人情報が流出したおそれがあること、また漏洩した情報には2021年7月20日~2024年5月20日の期間に「タリーズ オンラインストア」で使用された約5万2,000人のクレジットカードの番号や有効期限の情報も含まれている可能性があることなどが判明する。
今回の調査結果を受け、タリーズコーヒージャパンではクレジットカード会社とともに不正利用の履歴がないか確認していますが、利用客にも身に覚えのない請求がないかを確認するよう呼びかけています。
不正アクセス被害が急増、個人情報漏洩時の企業の法的対応は?
近年、急増する不正アクセス。警視庁の発表によると、昨年の全国での不正アクセス認知件数は、前年から約3倍の6,312件に上ったといいます。
大手企業が不正アクセスによる情報漏洩を発表するケースも珍しくなく、もはやどの企業にとっても他人事ではありません。
では、不正アクセスなどにより個人情報の漏洩が発覚した場合、企業は法的にどのような対応をとればよいのでしょうか?
この点、2024年4月1日から改正個人情報保護法施行規則が施行されており、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、「個人情報保護委員会への報告」及び「本人」への通知が義務づけられています。
報告が必要なケースとして、以下の4つが挙げられています(個人情報保護法施行規則第7条)。
(1)要配慮個人情報が含まれる事態
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害歴など、不当な差別や偏見その他の不利益が生じないよう、その取扱いに特に配慮を要するものとして定められている個人情報が漏えいしたケースなどが当てはまります。
(2)財産的被害が生じるおそれがある事態
例えば、ECサイトからクレジットカード番号を含む個人データが漏えいしたケース、ネットバンキングのIDやパスワードなどが漏えいしたケースなどです。
(3)不正の目的をもって行われた漏えい等が発生した事態
こちらは、例えば、従業者が顧客の個人データを不正に持ち出して第三者に提供したケースや、不正アクセスで個人データの漏えいが認められたケースなどが該当します。
(4)1,000人を超える漏えい等が発生した事態
例えば、サイトの設定ミスで個人データの閲覧がネット上で可能な状態となり、1000人を超える個人データの漏洩等が発生したケースなどです。
ちなみに、この「1000人超」という基準ですが、漏洩が発覚した当初1,000人以下でも、その後1,000人を超えた場合には、超えた時点で報告が必要となります。
また、漏洩した個人データに係る人数が確定できない場合でも、漏洩したおそれのある人数が最大1,000人を超えるときには、同じく報告が必要となります。
今回のタリーズコーヒージャパンの事案は、(2)、(3)、(4)の3つが当てはまる重大な事案といえます。
コメント
個人情報保護委員会によりますと、2023年度に報告された漏えい等の件数は12,120件だったということです。2022年度は7685件となっており、前述の不正アクセスの件数と相まって、急激な増加傾向にあるといえます。
漏洩が発覚した直後には、どのような情報が外部に漏れているのか、その実態把握が難しいことが少なくありません。迅速に調査を進めつつ、分かる範囲で個人情報保護委員会に報告をすることが望ましい対応となります。
情報セキュリティリスクが急速に高まっている昨今、個人情報を預かる企業としては、セキュリティを強化しつつ、データが漏洩した際の対策を講じておくことが重要です。
関連コンテンツ
濱野 敏彦
阿久津 透 弁護士(弁護士法人GVA法律事務所/東京弁護士会所属)
岡 伸夫
新着情報
- 弁護士
- 松田 康隆弁護士
- ロジットパートナーズ法律会計事務所
- 〒141-0031
東京都品川区西五反田1-26-2五反田サンハイツビル2階
- ニュース
- 「タイヤ館」でパワハラか、新入社員が自殺で遺族提訴2025.1.7
- NEW
- カー用品店「タイヤ館」の新入社員だった24歳の男性が3年前に自殺しました。遺族は、2024年1...
- 弁護士
- 福丸 智温弁護士
- 弁護士法人かなめ
- 〒530-0047
大阪府大阪市北区西天満4丁目1−15 西天満内藤ビル 602号
- 解説動画
江嵜 宗利弁護士
- 【無料】今更聞けない!? 改正電気通信事業法とウェブサービス
- 終了
- 視聴時間53分
- 業務効率化
- LAWGUE公式資料ダウンロード
- まとめ
- 今年秋施行予定、改正景品表示法の概要2024.4.25
- 昨年5月に成立した改正景表法が今年秋に施行される見通しです。確約手続きの導入や罰則規定の拡大...
- セミナー
茂木 翔 弁護士(弁護士法人GVA法律事務所/第一東京弁護士会所属)
- 【オンライン】2024年Web3重要法令改正等の確認
- 終了
- 2024/12/06
- 12:00~13:00
- 解説動画
大東 泰雄弁護士
- 【無料】優越的地位の濫用・下請法の最新トピック一挙解説 ~コスト上昇下での価格交渉・インボイス制度対応の留意点~
- 終了
- 視聴時間1時間
- 業務効率化
- Legaledge公式資料ダウンロード
