2016年9月6日
株式会社グラフィック

不正アクセスによる個人情報流出に関するFAQ

  • Q. 判明した経緯と時期
    • A. 2016年7月1日、法人向け決済サービスの決済代行会社より、弊社サーバから情報流出の可能性があるとの指摘を受け、弊社で調査を行った結果、個人情報の流出の懸念が判明いたしました。さらに、正確な被害範囲を特定するために、第三者機関に調査依頼をしておりましたところ、8月2日にクレジットカード情報の流出の懸念が判明いたしました。
  • Q. 流出の原因
    • A. 中国籍サーバから、弊社ウェブシステムの脆弱性をついた不正アクセスがあり、脆弱性のあったプログラムからデータベースへ不正な命令が行われたことが今回の流出の原因となります。また、決済ログ内に意図しないクレジットカード情報が内包されていた事実を、弊社のチェック体制の不備から発見できなかったことも一因となっております。これらの事象が第三者調査機関の調査により判明し、今回の第2報のご報告となりました。
  • Q. 流出の懸念のある情報
    • A. 「クレジットカード情報(カード番号/有効期限/セキュリティコード)」と、「会員情報等(会員ID/ログインID/パスワード/メールアドレス/法人名/氏名/住所/電話番号/FAX番号/印字用宛名情報/法人向け決済サービスの自動振替用個別番号)」が、今回の流出の懸念のある情報となります。
      ※「クレジットカード情報」と「会員情報等」は連結した状態では流出しておりません。
  • Q. 流出の懸念の対象範囲
    • A. 流出の対象となったお客様を特定するために第三者調査機関へ調査を依頼しておりましたが、不正アクセスの手法の特性上、特定に至りませんでした。そのため、「会員情報等」については2016年7月23日までの間に当該サイトを利用(新規会員登録、ご注文、資料請求等)されたお客様、「クレジットカード情報」については2010年7月21日から2016年7月23日の間に当該サイトでクレジットカード決済を利用されたお客様に流出の懸念がございます。この期間に利用されていないお客様に関しましては流出の懸念はございません。
  • Q. 流出の懸念の対象範囲にお客様が含まれている場合
    • A. 「会員情報等」の流出の懸念のあるお客様には、第1報を公表した2016年7月19日から弊社より順次メールにてご連絡を差し上げております。また、「クレジットカード情報」の流出の懸念のあるお客様には、2016年9月6日から弊社より順次メールおよび書面にてご連絡を差し上げております。対象期間に利用されたお客様は、当該サイトにご登録いただいたメールアドレスの受信箱をご確認ください(配信数、郵送数が多いため、お知らせは順次お送りいたします。お客様によって到着時期が異なりますことご了承ください。)
      メールおよび書面には8桁のお問い合わせ番号を記載しております(メール本文冒頭および郵送物の宛先付近)。お問い合わせの際に窓口のオペレーターへ8桁の番号をお伝えいただくと対応がスムーズになりますのでご協力ください。
  • Q. 流出したクレジットカード情報の件数
    • A. 「クレジットカード情報」が最大395件となります。
      但し、不正アクセスの手法の特性上、流出対象のお客様を特定することができないため、当該データベースに記録されているクレジットカード情報192,594件が流出の懸念がある対象となります。

        一部メディアにおいて、「最大19万件の流出可能性」という報道がございますが、
      事実誤認の内容にて、訂正をお願いしております。
      流出した件数は、公表文書にございます通り、395件です。
      特定ができないため、当時弊社顧客DBSに保存されていた192,594件を対象とし、
      個別にご案内させていただいております。

  • Q. クレジットカードの不正利用への対処方法
    • A. 「クレジットカード情報」の流出の懸念があるお客様は、ご自身のクレジットカードのご利用明細をご確認ください。万が一、カード会社からのご利用明細に不審な点があった場合は、大変お手数ですが、クレジットカード裏面に記載されているカード発行会社へ連絡しご確認をお願いいたします。
      但し、不正利用が行われた当該取引に関しましては、お客様に損害が生じることはございません。
      また、すでに流出の可能性があるクレジットカードにつきましては、カード発行会社と連携をしており、今後の不正利用の防止のためにモニタリング(監視)を強化しております。
  • Q. クレジットカードを再発行する場合
    • A. 再発行をご希望の場合は、クレジットカード裏面に記載されているカード発行会社へご連絡ください。
      「クレジットカード情報」の流出の懸念があるお客様の場合は、カード再発行の費用は弊社が負担することを各カード発行会社に通知しております。
      ※カード発行会社へは「グラフィックの件」とお伝えください。
  • Q. パスワードの変更
  • Q. 現在までの対策実施状況
    • A. 下記の対策を行っております。
      ・第三者機関による弊社ウェブシステムの脆弱性調査(完了)
      ・クレジットカードの不正利用モニタリング(監視)の強化
      ・セキュリティ対策(パスワードポリシーの変更、不正アクセス防御、
       暗号化、定期的な検査体制など)
      ・所轄警察へ相談および報告
      ・関係官庁への報告
      ・お客様窓口の設置
  • Q. 今後の再発防止策
    • A. 社内に再発防止委員会を設置いたしました。お客様からお預かりする情報を確実に保管・保全するため、情報セキュリティインフラおよび情報セキュリティ管理体制を見直し、内外の脅威に対処できるよう強化計画を策定しております。また、安心してご利用いただけるクレジットカード決済環境の実現に向けて検討・準備を進めております。
      クレジットカード情報の非保持化を確実にするリンク型の決済システムの導入はすでに完了しておりますが、万全を期すため、第三者による厳重なリスク評価を行った上で再開する予定です。
      再開予定日は現在のところ未定となっております。
  • Q. 第2報公表までに時間を要した理由
    • A. 当初は流出の懸念が判明した時点での情報公開を検討しておりましたが、被害状況の正確な把握やお客様へのご案内に必要な体制が不十分な状態では、かえって混乱を招く恐れがあると関係各所からのご助言があり、今回の公表時期とさせていただきました。お客様へのお知らせが遅くなりましたことをここにお詫び申し上げます。