お知らせ

弊社のお客様のカード情報流出に関してのご注意事項と弊社の取り組み

流出したお客様情報について

2009年11月16日更新

流出したお客様情報の範囲につきましては、犯人が未だ特定されていない中で、これまでに不正使用が検知されたクレジットカードに該当するご契約の共通属性を踏まえて判断せざるを得ないのが現状でございます。

弊社は、2009年9月11日、カード会社各社から照会を受けた不正使用の試みがあったクレジットカード番号に該当するご契約の共通属性を踏まえ、流出していたのは18,184件(カード番号)分の情報であると公表いたしました。

しかしながら、近時、カード会社各社から新たに報告をうけた不正使用の試みの照会の中に、これまで把握していた流出情報の共通属性に該当しないものが含まれておりましたので、これらが、弊社からの情報流出に該当するものであるか否かについて精査・分析を行ってまいりました。

その結果、今回、2009年9月11日に公表した18,184件に加え、流出が追加で特定されましたことを2009年11月11日のプレスリリースにてご報告いたしました。この追加で特定された流出は、既に9月11日に流出源として公表しておりましたファイルの範囲内であり、新たな情報流出ではございません。なお、流出した情報は、カード番号並びに、有効期限であり、ご契約の証券番号は流出していないことが新たに判明いたしました。お名前、ご住所、お電話番号、ご契約の内容、健康情報等、お客様個人を特定する情報は含まれておりません。

なお、本件に関するお問い合わせ専用ダイヤル(0120‐030‐655)におきましても、お客様の情報流出の該当の有無についてご確認いただけます。

このたびは、お客様にご心配とご迷惑をおかけいたしておりますことを、あらためてお詫び申し上げます。

元のページへ戻る

不正使用にあわれた場合の対処について

2012年3月30日更新

第三者による不正な利用が認められたお客様に対しては、経済的なご負担が一切生じないよう、クレジットカード会社各社のご協力もいただき対応いたします。

①不正使用がカード会社の監視により事前検知されるケース

  • 現在、カード会社各社のご協力により、情報の流出が確認されたお客様のカードについて不審な利用の監視をしていただいております。カード会社で不審な売上を検知した場合には、各カード会社にご対応いただき、この場合、お客様にご請求が及ぶことはありません。
  • お客様を不正使用からお守りするため、カード会社からご本人によるご利用であることの確認、あるいは、場合によっては、カードのご利用を保留させていただくことがございます。

大変なご不便・ご迷惑をおかけいたしますが、被害の未然防止のため、なにとぞご理解賜りますようお願い申し上げます。

※不正使用の疑いがある事案としてクレジットカード会社より弊社に照会のあったクレジットカード会員数は、2012年3月29日現在で6,610件となりました。(2009年7月14日からの累計)
なお、当該件数については、弊社が日々把握しているものではなく、クレジットカード会社が数日分の情報をまとめて弊社に照会していただく場合も含めて弊社にて集計したものである点をご了承ください。

②カード会社からのご利用明細で不正使用による請求が発見されるケース

  • 該当のお客様のご利用明細において、お心あたりのない請求が含まれていないかどうかご確認ください。
  • もし、ご自身に覚えのない請求が含まれていた場合は、速やかにお客様がご利用のカード会社までご連絡くださいますようお願いいたします。

③カード会社からのお引き落とし後に不正使用が発見されるケース

  • カード会社からお客様へのご利用額のお引き落とし実施後に、お心あたりのない請求にお気づきになるケースです。このような場合は、速やかにお客様がご利用のカード会社までお申し出くださいますようお願いいたします。

※ご不安をおもちで、クレジットカードの再発行をご希望されるお客様につきまして:
各クレジットカード会社におきましても、弊社の情報流出に関し、ご不安をおもちのクレジットカード会員に対して、ご希望により無料でクレジットカードを差し替えるなど、ご不安を取り除くための適切な対応をとるようにしていただいております。

元のページへ戻る

二次被害を防止するためのご注意

2009年8月4日更新

  • 弊社やクレジットカード業界団体ならびにカード会社が、お客様へ電話や訪問をして、本件に関してカード番号や個人情報をお尋ねすることはありません。お客様におかれましては、第三者にクレジットカードをお渡ししたり、暗証番号などの重要なクレジットカード情報をお伝えになったりすることは、絶対になさらないようお願い申し上げます。
  • また、このようなケースにあわれた際には、警察署や消費者センター等にご連絡くださいますようお願い申し上げます。

ケース例
「個人情報が流出しているので、身に覚えのないカード決済を取り消すためには書類を提出してもらう必要がある」
「カードの再発行を行うため、今のカードを送って欲しい。それが届き次第、新しいカード返送する」

※弊社から上記のようなお問合せをすることはありません。

元のページへ戻る

お客様にご安心いただくための取り組みについて

2010年3月17日更新

カード会社各社にご協力いただき、情報の流出が特定したお客様のカードについて不審な利用の監視を引き続き行なっていただいております。

また、不自然なアクセスがあったファイル(約46万件)に含まれていた上記以外の全てのお客様のカード情報につきましても、その一部が流出した可能性は否定しきれないことから、カード会社において同様の高い警戒レベルで不正使用をブロックしていただくことにより、お客様にご安心いただける態勢を確立いたしました。

また、念のために、該当のお客様にはご利用明細にご注意いただけるようお願い申し上げております。

なお、万一、不正使用により被害にあわれた場合であっても、お客様には金銭的なご負担をおかけいたしません。

弊社におきましては、弊社ホームページを中心に、お客様への注意喚起を引き続き行なってまいります。

本件につきまして、弊社は、2010年2月24日、金融庁より業務改善命令及び個人情報の保護に関する法律に基づく勧告を受けました。また、2010年3月16日、社団法人生命保険協会より個人情報漏えい等事案に対する勧告を受けました。
弊社では、お客様にご迷惑をおかけしないことを最優先に、本件発生以降、改善に向けた取り組みを行っており、既にその多くについて実施を完了しております。今後も、現在の取り組みに満足することなく、業界最高水準の個人顧客情報保護態勢の構築を経営上の最優先課題として、お客様から信頼いただける会社となるために、全社一丸となって万全を尽くしてまいります。

元のページへ戻る

調査内容及び調査結果

2009年11月13日更新

弊社では、複数の外部専門家のアドバイスをいただき、常時、計100名以上の体制で全容解明に向け調査を進めてまいりました。これまで、1,800万件にのぼるファイル、履歴のデータや個別プログラム等の網羅的な調査を行い、流出したデータの特定ならびに流出経路の特定に向け調査を行なってまいりました。

現時点で判明している調査の結果に関する発表事項は以下の通りです。

①個人を特定できる情報は含まれておりません

  • 含まれていた情報の内容は、クレジットカード番号、有効期限でした。
  • お客様個人の特定につながるような、お名前、ご住所、お電話番号、ご契約の内容、健康情報等は含まれておりませんでした。また、保険契約の証券番号も含まれておりませんでした。

②抜き取られたデータのデータ源が特定されました

  • 不正使用が検知されたカードの分析から、流出したデータが2種類あることが判明いたしました。それらのデータ源は、2008年2月26日から4月10日までの期間に、弊社ホストコンピュータ内に実在していたカード情報ファイルでした

なお、不自然なアクセスに使用されたメモリの解析により、ファイルの全件(約46万件)を抜き取ることが技術的に不可能であることも確認しております。抜き取りが可能であったのは、最大でもその約半分程度の件数であったと判断しております。ただし、そのうち、最終的に何件が持ち出されたかについては現時点では特定できておりません。

③データの抜き取り経路が特定されました

  • 外国(中国)の業務委託先の一人の社員に付与したIDから弊社のホストコンピュータに不自然なアクセスが複数回あり、これが情報流出源である可能性が極めて高いと判断しております。
  • 物的証拠等が得られていないため、個人の特定にはいたっておりません。

④更なるデータセキュリティ策を実施しております

  • 今般のお客様情報の流出をうけ、次の拡大防止策を含む再発防止策を実施しております。
    • 流出したデータに関連する業務のシステム開発の停止
    • アクセス権限の一時停止と絞り込み
    • 重要情報全般のマスキング(判別できないようにする処理)の広範囲化
    • 組織体制・業務における責任・役割の整備
    • 上記の組織・システム面での変更に伴うオペレーション面での業務プロセスルールの見直し 等
  • 今後は、弊社における情報セキュリティ確保のための基本方針に沿い、業務委託先における管理態勢強化を含めた、情報管理態勢の更なる強化を実現してまいります。

今後とも関係各位と緊密に連携しながら、原因究明およびお客様のカードの不正使用防止に全力を挙げてまいります。

2009年9月11日付調査の結果に関する発表事項は、こちら(PDF、約149KB)をご覧ください。

元のページへ戻る

再発防止策について

2009年11月12日更新

弊社では、今回の件に関しまして、直ちに次のようなセキュリティ強化策を実施しております。

Ⅰ. 情報流出が発覚した後に緊急で実施した強化策

  • 流出したデータに関連する業務のシステム開発の停止
  • アクセス権限の一時停止と絞り込み
  • 重要情報全般のマスキング(判別できないようにする処理)の広範囲化

流出経路の特定に伴い、下記の追加のセキュリティ強化策を導入いたしております。

Ⅱ. 流出経路の特定による追加強化策

  • 組織体制・業務における責任・役割の整備
    • 本番環境の管理を基盤システム部のみに限定
  • 組織・システム面での変更に伴うオペレーション面での業務プロセスルールを見直し、関係者に周知の上運用を開始
    • 情報保有ルールの徹底管理
    • システムアクセスIDの制限運用強化
    • 基盤部を中心とした本番運用管理強化

上記と合わせまして、従前より下記のセキュリティ強化策も実施しております。

Ⅲ. 従前より進めている対策例

  • 外部記憶装置への書き出し機能のシステム的制限
  • PCに標準外のソフトの導入の制限
  • メール規制の強化
  • ウイルス対応ソフトやWindowsの脆弱性を修正する変更プログラム等の自動配信及び自動適用の導入
  • 外部からのインターネット経由の侵入を防ぐために、インターネットシステムの脆弱性確認の定期的実施等

Ⅳ. 今後の対策

  • 業務委託先における管理体制強化
  • 「情報セキュリティ確保のための方針」に従い、更なるレベルアップおよびベストプラクティス実現を目指す

弊社におきましては、データ流出を防止することを最優先として対応を行い、従前からの実施事項とあわせまして、現在においては、十分なレベルのセキュリティ体制を確立しているものと考えております。

今後は、弊社における情報セキュリティ確保のための基本方針に沿い、業務委託先における管理態勢強化を含めた、情報管理態勢の更なる強化を実現してまいります。