(第2報)2016年9月20日配信分
(第2報)2016年9月6日配信分
(第1報)2016年7月27日配信分
(第1報)2016年7月22日配信分
(第1報)2016年7月19日配信分

2016年9月21日 更新

お客様各位

株式会社グラフィック
代表取締役 西野 能央

不正アクセスによる個人情報流出に関するお詫びと再発防止策のご報告(第2報)

 7月19日に発表しました不正アクセスによる弊社顧客情報データベース(以下「顧客DBS」といいます)からの情報流出事案について、 原因ならびに被害状況等を外部の専門調査会社(以下、「調査会社」といいます)で調査を実施しておりました。
 先般の発表時には、「弊社はクレジットカード情報をお客様からお預かりしていないため、クレジットカード情報の流出はございません。」とご説明しておりましたが、このたびの調査の結果、顧客DBSにお客様のクレジットカード情報が保管され、かつ当該不正アクセスによってその一部が流出していたことが判明いたしました(以下、「本件」といいます)。
 本件の概要および弊社の対応、ならびに再発防止策につきまして、下記のとおりご報告いたします。

お客様をはじめご関係者の皆様には、先般の発表内容に加えて、更なるご迷惑とご不安をお掛けしますこと、心よりお詫び申し上げます。

  • 1. 事案内容
    • (1)流出の規模
      @流出した情報の数
      395件
      395件の情報が流出した事実は確認されておりますが、どのお客様の情報かの特定が不可能な為、2010年7月21日から2016年7月23日(※)までにクレジットカード決済サービスを利用した全てのお客様の情報(192,594件)を流出の可能性のある情報とさせて頂きます。
      ※本年7月23日以降の不正アクセスはございませんでした。
      A流出の疑いのある情報
      ・クレジットカード番号
      ・セキュリティコード(3もしくは4桁の確認番号)
      ・有効期限
      (これら3つの情報を以下、「カード情報」といいます)
      ・グラフィック会員ID
    • (2)情報流出の原因
      中国籍サーバからの不正アクセスが原因でございます。
    • (3)経緯
       2016年7月1日、法人向け決済サービスの決済代行会社より、弊社サーバから情報流出の懸念があるとの指摘を受け、弊社で調査を行いました結果、中国籍サーバからの不正アクセスによって顧客DBSに保管している情報の一部が流出している事実が判明いたしました。なお、本事実を受け、一時、一切の顧客DBSの外部アクセスを停止し、中国籍サーバからのアクセスを遮断する措置を取るセキュリティ対策を実行したうえで、顧客DBSの利用を再開しました。
       同時に、不正アクセスによって流出したお客様情報の特定や詳細な原因の究明などについて、調査会社に依頼し、調査を開始いたしました。
       2016年7月19日、本事象について発表し、お詫び対応を進めておりました。
       2016年7月29日、調査会社より、流出した個人情報の特定には至らなかったことおよび、バックドアの形跡はなく、攻撃された当該サーバ以外には被害が広がっていないとの中間報告を受領しました。
       2016年8月2日、調査会社より中間報告第2報として連絡をいただいたところ、顧客DBSの決済ログにお客様のカード情報が内包されていることが新たに判明し、また、上記の不正アクセスによって一部のお客様のカード情報が流出していることが判明いたしました。これを受けまして直ちに顧客DBSからカード情報をすべて削除し、原因となるプログラムを修正いたしました。以降、流出したカード情報の特定や規模の把握について、引き続き弊社と調査会社とで調査を行いました。
       2016年8月8日、弊社と調査会社とで流出したカード情報に関し、お客様の特定が不可能であるとの見解を共有したことを受け、クレジットカード会社および警察や経済産業省に報告を行い、2016年8月9日、クレジットカードでの決済サービスを停止いたしました。
       2016年8月17日、調査会社より最終報告書を受領しました。最終報告書をもとに流出の規模を確定させ、クレジットカード会社へ報告をしました。以降、経済産業省へ逐次報告するとともに発表およびお客様へ案内と事情説明の体制整備を進めました。
    • (4)弊社が顧客DBSにカード情報を保有していたことについて認知できなかった原因
       弊社がWeb上でクレジットカード決済サービスを開始したのは2007年でございます。
       運用開始当時は、お客様が入力したカード情報は弊社のサーバを通らず、記録しないシステムでございました。その後、カード決済の利便性向上の観点から、システムに改良を重ねて参りました結果、2010年7月21日より、顧客DBSの決済ログの中に、入力されたアクションの一部としてカード情報の文字列が記録される状態となっていましたが、今回、調査会社の調査結果を受領するまで認識がございませんでした。
  • 2. 本件の対応について
    • (1)お客様対応
       流出したカード情報の特定を調査しましたが不可能であったため、2010年7月21日から2016年7月23日にカードをご利用頂いた全てのお客様に対し、お詫びと経緯のご説明、二次被害の注意喚起等を順次メールにて個別にご案内させていただいております。【9月9日(金)をもちまして完了いたしました】
       また、順次、個別にお詫び状とお詫びの品としてQUOカード(500円)を発送することを予定しております。【9月16日(金)をもちまして完了いたしました】
    • (2)関係官庁への報告
       関係官庁である経済産業省、また認定個人情報保護団体に報告を行いました。
       なお、先般の発表に引き続き、同省から不正アクセスに関する調査報告を逐次行うよう指導があり、適宜対応を行っております。
    • (3)警察への報告
       お客様の二次被害防止の観点から所轄警察署に報告を行いました。
       ご指導やご助言をもとに、刑事訴訟手続等しかるべき対応を進めております。
    • (4)クレジットカード会社への報告
       調査会社の調査結果をクレジットカード会社に報告いたしました。
       また不正利用の防止のため漏えいの可能性があるすべてのカード情報のモニタリング強化をご依頼しました。
  • 3. お客様へのお願い
    • (1)利用明細のご確認
       誠にお手数でございますが、身に覚えのないクレジットカードの利用履歴がないかどうかご確認ください。万が一、ご不明なお取引があった場合は、クレジットカードの裏面に表記のカード発行会社へご連絡をお願いします。なお、漏えい対象のクレジットカード再発行に伴う手数料につきましては、お客様にご迷惑がかからないよう、弊社で負担することをクレジットカード会社に依頼しております。
      ※カード会社にご連絡の際は「グラフィックの件」とお伝えください。
    • (2)Webサイト ログインパスワード変更
       2016年7月19日以降にパスワードを変更されていない方は、誠にお手数でございますが、安心して弊社サービスをご利用いただきたく、Webサイトをご利用いただくためのパスワードにつきまして、ご変更いただくことをお奨めいたします。
       弊社Webサイトログイン時にパスワード変更の画面が表示されますので、なるべくお早めにお手続きしていただきますようお願いいたします。
      ログインパスワードの変更はこちら
    • (3)弊社からの本件に関するメールに、ファイルを添付してお送りすることはございません。
      不審なメールについては、メール及び添付ファイルの開封を控えるなど、くれぐれもご注意くださいますよう、お願いいたします。
    • (4)お客様にお心当たりのない不審な点等がございましたら、弊社までご連絡をお願いいたします。警察機関・関係官庁と連携し、誠実に対応を進めてまいります。
  • 4. 再発防止策について
    • 本件の発生を受けて策定した再発防止策の概要につきまして、ご報告いたします。
    • (1)情報管理体制の強化
      @ 個人情報管理に対する意識の徹底とPMSの的確な実施
      A 情報セキュリティ管理体制の強化
      B 情報セキュリティインフラの整備と強化
      ※カード情報が弊社のサーバを通過せず、保有されないシステムへの切替えを含む
    • (2)リスクマネジメントの強化
       法令違反や不祥事等、社会やご関係者の皆さまにご迷惑をお掛けすることのないよう、組織体制の再整備や役割を再周知し、規程マニュアル類の新設・更新、教育研修、監査などを複合的に実施しリスクマネジメント体制の強化を図ります。
    • (3)コンプライアンス体制の強化
       法令遵守体制の確立に向け、規程マニュアル類の新設・更新、教育研修などを通じて、コンプライアンス体制の強化を図ります。
  • 5. 今後の対応について

 弊社は今後におきましても、二次被害防止を最優先事項と捉え、誠実な対応を取らせていただきます。万一、二次被害等が発生した場合におきましては、関係官庁ならびに警察機関との連携を取りながら対応を進めて参ります。

 皆様には、先般のご報告に加えて、更なるご迷惑とご不安をお掛けしておりますこと、改めてお詫びを申し上げます。
 2016年8月17日の最終報告書受領より本日の発表までお時間がかかりましたこと、深くお詫び申し上げます。本日までお時間がかかりました理由は、調査結果の精査および関係会社との調整に期間を要したためでございます。
 この度の弊社の対応に何卒ご理解を賜りますようお願い申し上げます。

以上

2016年9月20日配信からの変更内容

2. 本件の対応について
 (1)お客様対応 内
  流出したカード情報の特定を調査しましたが不可能であったため、2010年7月21日から2016年7月23日にカードをご利用頂いた全てのお客様に対し、お詫びと経緯のご説明、二次被害の注意喚起等を順次メールにて個別にご案内させていただいております。
【9月9日(金)をもちまして完了いたしました】
上記の網掛け箇所を追加致しました。

  また、順次、個別にお詫び状とお詫びの品としてQUOカード(500円)を発送することを予定しております。
【9月16日(金)をもちまして完了いたしました】
上記の網掛け箇所を追加致しました。

【本件に関するご連絡先】

お客様情報の流出に関するお問い合わせ窓口

TEL.050-2018-7316(24時間受付)