株式会社ファーストリテイリングは、2024年7月2日、同社が管理する情報システムにおいて、個人情報の取扱いに不備があり、同社および個人情報の取扱いを委託していない一部の委託先事業者の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったこと公表した。
参照元:2024年7月2日 同社リリース
当社グループ情報システムにおける個人情報の取り扱い不備に関するお詫びとご報告
同社リリースによると、2024年1月、顧客に提供するサービスの稼働状況を監視するための情報システムにおいて、本来の用途を超えた範囲の個人情報が閲覧可能な状態になっていることを、同社担当部署の従業員が確認し、直ちに情報システムへのアクセスを遮断。
その後、速やかに個人情報保護委員会への報告を行い、情報システムに個人情報が含まれていることを検知、隔離をする仕組みと運用を整備した。
情報システムは、あらかじめ許可された同社および委託先事業者の担当従業員のみがアクセスできるもので、それ以外の第三者によるアクセスはできないよう厳しく制限されていたとのこと。また、この制限が有効に機能していることの確認と併せ、情報システムへのアクセスが可能な者による個人情報の持ち出しや第三者によるアクセスがないことを確認した。
閲覧が可能だった情報は、同社グループのオンラインストアを利用した顧客の氏名、住所、電話番号、Eメールアドレスを含む、オンラインストア会員登録情報、同社グループの店舗に訪問した際、他店舗から商品の取り寄せを希望した顧客の氏名、電話番号、Eメールアドレス、同社グループの運営する着こなし発見アプリ「スタイルヒント」を利用した顧客のEメールアドレス。
インシデント対応ならTMI
TMI総合法律事務所とTMIプライバシー&セキュリティコンサルティングでは、ランサムウェア攻撃をはじめとするサイバー攻撃のインシデント対応サービスをご用意しております。また、デジタル・フォレンジック調査も可能で、初動対応から再発防止策の策定まで一気通貫のご支援が可能です。