お菓子の越境EC運営のICHIGO 業務委託先に無断でソースコードを公開される

2024年6月28日 お菓子の越境EC「 TOKYO TREAT」、「SAKURACO」キャラクターのサブスクサービス「YumeTwins」などを運営する株式会社ICHIGOが、業務委託先のLASSIC社の再委託先であるフリーランスエンジニアに無断でソースコードをGitHubへ公開された事を公表しました。

2024年7月23日追記：Remogu（リモグ）を運営するLASSIC(ラシック)が元顧客のICHIGOを提訴しました

ICHIGO社のソースコード 無断公開の経緯

ICHIGO社は開発業務の一部を、開発者である株式会社LASSICに委託していたが、

LASSIC社はICHIGO社のソフト開発業務を、同社の運営するフリーランスエンジニア紹介サービス「Remogu」に登録していた個人であるA氏に再委託していた。

LASSIC社とA氏との間で報酬に関するトラブルが発生し、2024年4月19日頃、A氏がLASSIC社に対する報酬の支払を要求する目的で、LASSIC社を通じてICHIGO社からアクセス権を付与されていたICHIGO社の知的財産であるソースコードの一部を「Github上」で公開したことが判明。

ICHIGO社からLASSIC社に対して抗議を行うと共に、公開されたソースコードにて紹介する全ての案件に従事した全てのエンジニアにおいて、氏名、経歴や技術等についての表示は自己申告のみであり、本人確認や支払額の確認を行っていなかったことが判明

LASSIC社からA氏のソースコード削除に関して返答なし

2024年6月28日現在、A氏がICHIGO社のソースコードを保持しているか否か、削除しているかどうかについてLASSIC社に複数回問い合わせていますが、回答は未だに得られておらず、LASSIC社は本対応を弁護士に委任済み。

また、適切な損害賠償や今後の対策についての具体的な提示もされていないとのこと。

流出した情報はソースコードのみ

当該ソースコードにおいてはICHIGO社の取引先や顧客の個人情報の取扱いはなく、当該ソースコードの公開により、ICHIGO社以外の取引先や顧客にご迷惑をおかけする事態が生じることはないとのこと。
なお、現在当該ソースコードは非公開になっている。

一部引用：代表X投稿

沈黙し続けるLASSIC社

ICHIGO社の発表通りなら、重大な情報漏洩のインシデントとなりますが、LASSIC社は7月19日に本件に関してリリースを出しましたが、何らかの理由で削除しました。

2024年7月23日　時点でLASSIC社とRemoguの両サイト共に本件に関してのコメントは掲載されていません。