HOME >「クラブゲッツ」お客様情報漏洩に関する改善・再発防止策について


平成28年9月16日  

お客様各位

札幌通運株式会社  

代表取締役社長 片岸 俊幸  


「クラブゲッツ」お客様情報漏洩に関する改善・再発防止策について



 本年6月に公表致しました、弊社「クラブゲッツ」の旅行商品をご利用のお客様のうち、インターネットを通じたクレジットカード決済サービスをご利用のお客様のカード情報を含む個人情報が不正アクセスにより一部、外部に流出した件につきまして、弊社をご利用のお客様におかれましては、多大なるご迷惑およびご心配をおかけする事態に至りましたこと、誠に申し訳なく深くお詫び申し上げます。
 二度とこのような事案を生じさせることのないよう対策を検討し、このたび下記のとおり改善・再発防止策を講じましたのでご報告いたします。
 本件に関しまして、改善・再発防止策を確実に実行し、個人情報取扱い事業者として皆様の信頼回復に努めて参ります。
 

 

 

1.改善・再発防止策の方針について

    ・クラブゲッツのシステムで取り扱う重要情報の流出リスクを洗い出し、対策を講じることといたしました。
    ・本件にて漏洩した個人情報にはお客様のクレジットカード情報が含まれている懸念があったことから、速やかにクレジッ
     トカード情報をクラブゲッツのシステムで一切扱わないように変更したうえで、情報セキュリティ専門会社であるセコムト
     ラストシステムズ(株)、並びに(株)LACに、情報セキュリティ診断と情報セキュリティ評価を依頼し、これらの調査、診断
     結果及びアドバイスに基づき、システム全体のセキュリティ向上と、再発防止に向けた改善策を実施して参りました。



2.本件個人情報漏洩事案発生及びセキュリティ診断・評価により認識した情報セキュリティ上の課題点

    ・診断の過程において、「クラブゲッツ」ウェブサイトのサーバやアプリケーションに、本件個人情報漏洩事案の原因では
     ないものの、脆弱性が発見されました。
    ・当社内部に情報セキュリティに関する規程はありましたが、個人情報の取扱いに係る手順書の整備や教育が不
     十分であり、またインシデント(問題)発生時の手順も整備されておらず、個人情報取り扱い全般に関して運用不備が
     ある状態でした。
    ・「クラブゲッツ」のウェブサイトは、外部委託先管理(ホスティング)の環境下にありますが、当社では、委託開始時以外
     に当該外部委託先のセキュリティ状況をチェックしておらず、また、当該外部委託先との契約においてはセキュリティ
     運用に関する役割分担が明確になっていないため、責任当事者が曖昧な状態でした。



3.改善・再発防止策の概要

     本件事案発生から、本日(平成28年9月16日現在)までに実施、または完了した改善・再発防止策の概要は、次のとおりです。

               項    目    実 施 事 項 ( 9月16日現在 )
    システムのセキュリティ向上 @脆弱性対応 ・クラブゲッツのシステムの主要構成要素をすべて点検し、
     緊急度の高い課題への対策を行った。
    A診断の実施 ・今後、定期的に実施
    BクラウドWAF(※1)の導入 ・導入完了、設定調整中
    内部体制・制度の整備 Cセキュリティ体制の整備 ・担当部門を設置
    ・CISO(最高情報セキュリティ責任者)を任命し、インシデン
     ト発生時の経営判断を迅速化
    D外部委託先の管理 ・外部委託先管理のルールを整備(管理項目を策定済み、
     契約、定期的監査について規定)
    ・現委託先への要望提出
    EPDCA構築 ・セキュリティに関するPDCAのサイクルを構築・運用
    クレジットカード決済再開に向けた対応 FPCI DSS準拠の仕組に移行 ・決済入力時に決済代行会社のシステム上にある決済画面
     に遷移する仕組を構築、移行準備済み
    ※1 クラウドWAF(Web Application Firewall):一般的なファイアウォールとは異なり、Webサイト上のアプリケーションに対するSQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクション、パスワードリスト攻撃などの攻撃防ぐ仕組み


4.「クラブゲッツ」でのクレジットカード決済再開について

     今後、「クラブゲッツ」の決済入力時に決済代行会社が運営するシステムの決済画面に遷移(リンク)する仕組を構築し、「クラブゲッツ」のシステム上でクレジットカード情報を処理、伝送、保管することのない仕組みと致しました。
     なお、決済代行会社のシステムは、クレジットカード情報を安全に取扱うための基準であるPCI DSSに準拠し、毎年外部機関による準拠性監査を行っております。
     既に当該改善につきましては、システム改修を完了しており、Webサイトでのクレジットカードの取扱いを再開する予定ですが、具体的な再開が決定いたしましたら、「クラブゲッツ」のwebサイトにて別途ご案内させていただきます。


     お客様に多大なるご迷惑およびご心配をおかけ致しましたこと、誠に申し訳なく深くお詫び申し上げます。
     二度とこのような事案を生じさせることのないよう、改善・再発防止策を確実に実行し、個人情報取扱い事業者として皆様の信頼回復に努めて参ります。


   

【クラブゲッツお客様電話相談窓口】

    電話番号: (クラブゲッツ東京のお客様) 03-3456-4071
      (クラブゲッツ札幌のお客様) 011-272-7020
    受付時間: 平日 10時〜14時、15時〜19時

以 上