タリーズオンラインへの不正アクセス、クレジットカード情報含む9万人超の個人情報流出か
2024/10/16 行政対応, 情報セキュリティ, 個人情報保護法, 外食
はじめに
タリーズコーヒージャパン株式会社は、10月3日、同社が運営するオンラインストアに対する第三者からの不正アクセスにより、9万人以上の個人情報が流出したおそれがあるとの調査結果を発表しました。
漏洩した情報の中には、5万件以上のクレジットカード情報も含まれている可能性があるということです。
タリーズコーヒージャパンは、今年5月30日に不正アクセスの被害を公表し、以後、調査に乗り出していました。
タリーズオンラインサイトに不正アクセス
不正アクセスが発覚するまでの経緯とその後の対応は以下のとおりです。
(1)今年5月20日、警視庁より、タリーズコーヒージャパンが運営するオンラインサイト「タリーズ オンラインストア」を利用した客のクレジットカード情報が漏洩している可能性などを指摘される。指摘を受け、タリーズコーヒージャパンは、カード決済をすぐに停止。
(2)5月23日、オンラインストア自体を一時閉鎖する。
(3)情報漏洩の可能性があったため、5月30日、会社ホームページやメディアを通じて発表を行う。
(4)その後、会社は第三者調査機関にフォレンジック調査を依頼し、被害状況の調査を実施。
(5)調査の結果、これまでに会員登録を行った約9万2000人の氏名、住所、電話番号などの個人情報が流出したおそれがあること、また漏洩した情報には2021年7月20日~2024年5月20日の期間に「タリーズ オンラインストア」で使用された約5万2,000人のクレジットカードの番号や有効期限の情報も含まれている可能性があることなどが判明する。
今回の調査結果を受け、タリーズコーヒージャパンではクレジットカード会社とともに不正利用の履歴がないか確認していますが、利用客にも身に覚えのない請求がないかを確認するよう呼びかけています。
不正アクセス被害が急増、個人情報漏洩時の企業の法的対応は?
近年、急増する不正アクセス。警視庁の発表によると、昨年の全国での不正アクセス認知件数は、前年から約3倍の6,312件に上ったといいます。
大手企業が不正アクセスによる情報漏洩を発表するケースも珍しくなく、もはやどの企業にとっても他人事ではありません。
では、不正アクセスなどにより個人情報の漏洩が発覚した場合、企業は法的にどのような対応をとればよいのでしょうか?
この点、2024年4月1日から改正個人情報保護法施行規則が施行されており、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、「個人情報保護委員会への報告」及び「本人」への通知が義務づけられています。
報告が必要なケースとして、以下の4つが挙げられています(個人情報保護法施行規則第7条)。
(1)要配慮個人情報が含まれる事態
人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害歴など、不当な差別や偏見その他の不利益が生じないよう、その取扱いに特に配慮を要するものとして定められている個人情報が漏えいしたケースなどが当てはまります。
(2)財産的被害が生じるおそれがある事態
例えば、ECサイトからクレジットカード番号を含む個人データが漏えいしたケース、ネットバンキングのIDやパスワードなどが漏えいしたケースなどです。
(3)不正の目的をもって行われた漏えい等が発生した事態
こちらは、例えば、従業者が顧客の個人データを不正に持ち出して第三者に提供したケースや、不正アクセスで個人データの漏えいが認められたケースなどが該当します。
(4)1,000人を超える漏えい等が発生した事態
例えば、サイトの設定ミスで個人データの閲覧がネット上で可能な状態となり、1000人を超える個人データの漏洩等が発生したケースなどです。
ちなみに、この「1000人超」という基準ですが、漏洩が発覚した当初1,000人以下でも、その後1,000人を超えた場合には、超えた時点で報告が必要となります。
また、漏洩した個人データに係る人数が確定できない場合でも、漏洩したおそれのある人数が最大1,000人を超えるときには、同じく報告が必要となります。
今回のタリーズコーヒージャパンの事案は、(2)、(3)、(4)の3つが当てはまる重大な事案といえます。
コメント
個人情報保護委員会によりますと、2023年度に報告された漏えい等の件数は12,120件だったということです。2022年度は7685件となっており、前述の不正アクセスの件数と相まって、急激な増加傾向にあるといえます。
漏洩が発覚した直後には、どのような情報が外部に漏れているのか、その実態把握が難しいことが少なくありません。迅速に調査を進めつつ、分かる範囲で個人情報保護委員会に報告をすることが望ましい対応となります。
情報セキュリティリスクが急速に高まっている昨今、個人情報を預かる企業としては、セキュリティを強化しつつ、データが漏洩した際の対策を講じておくことが重要です。
福本 洋一
岡 伸夫
新着情報
- 解説動画
大東 泰雄弁護士
- 【無料】優越的地位の濫用・下請法の最新トピック一挙解説 ~コスト上昇下での価格交渉・インボイス制度対応の留意点~
- 終了
- 視聴時間1時間
- まとめ
- 株主提案の手続きと対応 まとめ2024.4.10
- 今年もまもなく定時株主総会の季節がやってきます。多くの企業にとってこの定時株主総会を問題無く無...
- ニュース
- 厚生労働省、企業にカスハラ対策義務化へ2025.1.10
- NEW
- カスタマーハラスメント、通称“カスハラ”。顧客や取引先などから過剰な要求を受ける、不当な言いが...
- 弁護士
- 平田 堅大弁護士
- 弁護士法人かなめ 福岡事務所
- 〒812-0027
福岡県福岡市博多区下川端町10−5 博多麹屋番ビル 401号
- 弁護士
- 大谷 拓己弁護士
- 弁護士法人 咲くやこの花法律事務所
- 〒550-0011
大阪府大阪市西区阿波座1丁目6−1 JMFビル西本町01 9階
- 業務効率化
- Lecheck公式資料ダウンロード
- セミナー
五反田 美彩 弁護士(弁護士法人GVA法律事務所/第一東京弁護士会所属)
林越 栄莉 弁護士(弁護士法人GVA法律事務所/第二東京弁護士会所属)
- 【オンライン】インフルエンサーに必要な法務知識とは?
- 終了
- 2024/11/27
- 12:00~13:00
- 業務効率化
- Legaledge公式資料ダウンロード
- 解説動画
斎藤 誠(三井住友信託銀行株式会社 ガバナンスコンサルティング部 部長(法務管掌))
斉藤 航(株式会社ブイキューブ バーチャル株主総会プロダクトマーケティングマネージャー)
- 【オンライン】電子提供制度下の株主総会振返りとバーチャル株主総会の挑戦 ~インタラクティブなバーチャル株主総会とは~
- 終了
- 視聴時間1時間8分
