ユニクロ、ジーユーを運営するファーストリテイリングが委託先事業者の従業員が必要な権限範囲を超えて個人情報を閲覧できた事を発表｜セキュリティ インシデント 事例

2024年7月2日　ユニクロやジーユーを運営する株式会社ファーストリテイリングが、同社の情報システムにおいて、個人情報の取扱いに不備があり、ファーストリテイリングおよび個人情報の取扱いを委託していない一部の委託先事業者の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったことが、調査により判明したことを発表しました。なお個人情報の漏洩や持ち出しは確認されていないとのことです。

個人情報漏洩や流出・持ち出しはない

本インシデントでの個人情報の漏洩や持ち出しは確認されていないとのことです。

セキュリティ インシデントの経緯

2024年1月、お客様に提供するサービスの稼働状況を監視するための情報システム（以下、本情報システム）において、本来の用途を超えた範囲の個人情報が閲覧可能な状態になっていることを、ファーストリテイリング担当部署の従業員が確認し、直ちに本情報システムへのアクセスを遮断。

その後、速やかに個人情報保護委員会へ報告を行い、本情報システムに個人情報が含まれていることを検知、隔離をする仕組みと運用を整備。
そのうえで、本事案の影響について調査を行った結果、ファーストリテイリンググループのオンラインストアを含むいくつかのサービスにおいて、2023年6月から2024年1月までの間、一部のお客様の個人情報が本情報システムに保存される設定となっていたことが判明。

本来、本情報システムは個人情報を保存するための仕組みではありませんが、結果として、ファーストリテイリングが個人情報の取り扱いを委託していない一部の委託先事業者についても、本情報システムに保存された個人情報の閲覧が可能な状態となっていました。

本情報システムは、あらかじめ許可されたファーストリテイリングおよび委託先事業者の担当従業員のみがアクセスできるもので、それ以外の第三者によるアクセスはできないよう厳しく制限されております。この制限が有効に機能していることの確認と併せ、本情報システムへのアクセスが可能な者による個人情報の持ち出しや第三者によるアクセスがないことを確認しているとのこと。

また、個人情報にアクセスが可能となっていた委託先事業者とは、業務委託開始前に秘密保持契約を締結しており、さらに、本事案を受けて個人情報の保存や持ち出しをしていないことについて、改めて書面で確認を得ている。

インシデントの対象となった個人情報

2023年6月から2024年1月までの間に、ファーストリテイリンググループのオンラインストア又は店舗等を利用した顧客に関する個人情報のうち、以下のものに限られております。

1. 1) ファーストリテイリンググループのオンラインストアをご利用いただいた顧客の氏名、住所、電話番号、Eメールアドレスを含む、オンラインストア会員登録情報
   
2. 2) ファーストリテイリンググループの店舗に来店した際、他店舗から商品の取り寄せご希望した顧客の氏名、電話番号、Eメールアドレス
   
3. 3) ファーストリテイリンググループの運営する着こなし発見アプリ「スタイルヒント」の利用者のEメールアドレス

※閲覧が可能な状態にあった個人情報に、クレジットカード情報、オンラインストアのパスワードは含まれていない。

引用：当社グループ情報システムにおける個人情報の取り扱い不備に関するお詫びとご報告