東急スポーツシステム 運営 アトリオドゥーエ Next たまプラーザ、業務委託スタッフによる不正アクセスを公表

東急スポーツシステムが運営するスポーツクラブ「アトリオドゥーエ Next たまプラーザ」は、2025年3月に発生したレッスン予約システムへの不正アクセスについて、調査結果および再発防止策を公表しました。不正アクセスは業務委託先スタッフによって行われたもので、顧客情報の漏えいは確認されなかったものの、利用者に混乱を招く結果となりました。

クラブ外からの予約キャンセル、不審な挙動の発端に

不正アクセスが発覚したのは、2025年3月17日に外部から同クラブのレッスン予約がキャンセルされたことが発端でした。内部調査の結果、業務委託先から派遣されていた元アルバイトスタッフが、過去の在籍時に入手した他者のアカウント情報を不正に使用し、複数回にわたりシステムにアクセスしていたことが判明しました。

このスタッフは2024年9月にアルバイトを退職した後も、委託契約のもとでクラブ業務に従事していましたが、アカウントの権限を不正に使用してレッスン内容やトレーニングスケジュールを閲覧・操作していたとされます。

顧客情報の流出はなし、関係スタッフには厳重処分

調査の結果、不正アクセスによってクラブの顧客情報が外部に持ち出された事実は確認されていないとしています。クラブは問題のスタッフに対して契約を解除し、同人のアカウントを無効化。

また、アカウント情報を不適切に渡していたアルバイトスタッフに対しても厳重注意と指導を実施しました。

さらに、クラブ全従業員のアカウントパスワードの再設定と、情報管理体制の再確認を直ちに実施。不正アクセスの再発を防ぐための初動対応をとったとしています。

原因分析：情報セキュリティ教育と管理体制に課題

クラブが発表した調査結果によると、今回の不正アクセスの原因には以下の要因があったとされています。

• 業務委託先およびスタッフ本人の情報セキュリティ意識の欠如

• 適切な利用ルールの教育不足やコンプライアンスへの認識不足

• 就業状況の管理体制が不十分で問題の兆候を早期に把握できなかった

• アカウントやパスワードの定期的な更新やシステム内監査の実施が不足

これらの背景には、委託先とクラブ双方の情報管理・教育に関する連携の脆弱さが指摘されています。

セキュリティ観点での考察と教訓

今回の事案は、“内部関係者による不正アクセス”というクラシックなリスクが、委託先スタッフという形で顕在化した事例です。システム的な脆弱性ではなく、アカウント情報の不適切な管理と倫理教育の不徹底が引き金となった点が特徴です。

情報システム部門としては、以下の対応が改めて求められます。

• アカウント管理ポリシー（貸与禁止・ログ管理）の再点検

• 委託先スタッフも含めた全関係者への同等レベルのセキュリティ教育

• 退職・契約終了時のアカウント失効の徹底

• 操作ログやアクセス状況の監視による、異常検知の仕組みの導入

こうした事例は、たとえ顧客情報の漏えいがなかったとしても、利用者の信頼を損なうリスクがあります。業務委託やアルバイトといった外部人材を含め、情報にアクセスするすべての関係者を対象にした包括的なセキュリティガバナンスの構築が必要不可欠です。

まとめ

アトリオドゥーエ Next たまプラーザで発生した不正アクセス事案は、委託先スタッフによるアカウント不正利用という人的リスクの典型例です。クラブは顧客情報の漏えいはないと報告しているものの、事前の教育と管理体制の見直しが急務であることが浮き彫りになりました。

同クラブは今後、再発防止に向けた取り組みを強化し、利用者に安心してサービスを利用してもらえるよう、組織全体のセキュリティ意識の底上げを図っていくとしています。