資生堂／イプサ公式オンラインショップへの不正アクセスに関する調査結果を公表

2017年01月31日 13:41 ／経営

資生堂は1月31日、「イプサ公式オンラインショップ」への不正アクセスに関する調査委員会による調査結果を公表した。

昨年12月に発表致しました不正アクセスによる個人情報漏えい事故の件について、発表以降、社内調査委員会や有識者と、原因の究明および再発防止策の検討してきた。

決済代行会社から情報提供を受け、イプサの保有する注文履歴と照合したところ、フォレンジック調査でクレジットカード情報流出の可能性を指摘された人以外に9699名がECサイトで商品を購入していたことが判明した。

イプサのECサイトにクレジットカード決済のログは残っていないものの、クレジットカード情報流出の可能性がないとは断定できないため、12月13日に対象の顧客にクレジットカード情報流出懸念を通知した。

クレジットカード情報以外の個人情報につき、ECサイト未登録で、イプサ商品を店舗で購入した消費者が、自身の購入履歴やポイントを参照するために必要な利用登録画面にログインしたまま、本来、実施の必要がない利用登録画面を再度表示させた場合に、個人情報がウェブサーバ内のログに残ることがわかり、その対象者は150名と判明した。1月20日に対象者に個人情報流出の可能性を伝えている。

同社は、外部の情報セキュリティ専門企業の参画のもと行った詳細調査の結果、今回の事案が発生した直接的な原因として、SSIに起因する脆弱性に対する認識不足など3点の技術的な問題と、イプサのサイトの管理体制の不備、システムの詳細の確認不測の問題があったと捉えている。

今後、ECサイトを含むイプサ公式サイトは、セキュリティレベルの高い新たな環境において全て
再構築する。その際には、開発・構築・運用におけるセキュリティ要件を明確にするとともに、EC サイト内ではクレジットカード情報を一切入力せず、決済代行会社のサイトにてクレジットカード情報を入力する決済システム（遷移型決済システム）を採用する。

ECサイトを含め、イプサ内のすべてのシステムを一つの部門で一元管理。また、個人情報等の重要情報を保持しているシステムの安全な管理を推進。委託先の管理を強化し、個人情報保護に関する体制や規定などの整備と運用状況の確認、契約書への内容記載の徹底を行うといった再発防止策と徹底するとしている。

■報告書全文
http://www.ipsa.co.jp/news/3/pdf/20170131ipsa-release.pdf