日本トイザらス株式会社は2025年4月24日、同社が実施した「ポケモンカードゲーム スカーレット&バイオレット 拡張パック ロケット団の栄光」の抽選販売において、当選リストの一部が不正に取得・利用される事案が発生したことを発表しました。
この問題は、全国の一部店舗において確認されており、顧客情報の安全管理に重大な不備があったことが明らかとなっています。
目次
不正取得・不正利用が確認された店舗と件数
以下の6店舗で計17件の不正取得・不正利用が確認されています。
-
トイザらス・ベビーザらス 福島店
-
トイザらス・ベビーザらス いわき店
-
トイザらス・ベビーザらス 和歌山店
-
トイザらス・ベビーザらス 泉北ニュータウン店
-
トイザらス・ベビーザらス 松原天美店
-
トイザらス・ベビーザらス 貝塚店
うち2店舗では、防犯カメラ映像から当選者リストが無断で撮影され、不正に使用されたことが確認されました。不正取得者が当選者になりすまし商品を購入した可能性も判明しています。
影響範囲と対象情報
不正に取得された可能性がある情報は、当選番号・ポイント会員番号・当選者名(苗字のみ)です。
スターカードに登録されているその他のお客様の個人情報(住所・電話番号等)については、不正アクセスの形跡はないとされています。
トイザらスの対応と今後の対策
トイザらスは、正規に当選していたお客様には、在庫商品をもって改めて引き換え対応を実施。
また、今回の事案を個人データの漏えい問題と認識し、個人情報保護委員会に対して正式な漏えい報告を行ったことも併せて発表しています。
今後は、次回以降の抽選販売において、
-
当選者情報の管理体制強化
-
引き換え時の本人確認強化(スターカード+顔写真付き公的身分証明書提示)
といった新たな安全対策を導入する方針を示しています。
トイザらスは次のようにコメントしています。
「このたびは、抽選販売時の弊社体制の不備により、多大なるご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。今後、公平・公正な販売が行えるよう努めてまいります。
抽選販売における一般的な情報管理の課題
抽選販売においては、特に次のような情報管理上のリスクや課題が存在します。
当選者情報の取り扱いリスク
抽選結果に含まれる氏名や会員番号などの情報は個人情報に該当するため、適切な保護措置が求められます。
しかし、現場の店舗オペレーションでは、紙媒体での管理や、簡易なリスト形式で取り扱われるケースも多く、物理的・人的な情報漏えいリスクが高まる傾向にあります。
本人確認手続きの不備
当選者と購入者を一致させるための本人確認が不十分であると、なりすまし購入が発生するリスクがあります。
特に、氏名のみ、またはポイントカード番号だけでの確認にとどまると、第三者による不正引き換えが容易になってしまいます。
システム上の脆弱性
オンライン抽選やデジタル管理を採用する場合、システム設計ミスやセキュリティ対策の甘さによって、
外部からの情報窃取、内部者による不正閲覧・改ざんが発生するリスクも無視できません。
店舗スタッフへの教育不足
現場でリストを管理・運用するスタッフに対して、
個人情報保護法やプライバシー管理に関する十分な教育・訓練が行き届いていないと、
「軽い気持ち」で不正に応じてしまうケースや、セキュリティ意識の低さによる事故が起こりやすくなります。
不正防止策の事前導入不足
今回のような不正アクセスやなりすまし行為を防ぐためには、
本人確認の徹底(例:顔写真付き身分証明書の提示)、アクセスログ管理、情報取得者の制限といった施策をあらかじめ講じておく必要があります。
これらが事前に設計・運用されていない場合、事後対応だけでは信頼回復が難しくなる恐れがあります。
一部参照
https://www.toysrus.co.jp/on/demandware.static/-/Sites-ToysRUs_JP-Library/default/01-tru-jp/corporate/notice/pdf/2025/20250424.pdf
