ファーストリテイリング、情報システムにおける個人情報の取り扱いに不備。「個人情報の持ち出しは確認されていない」
ファーストリテイリングは7月2日、管理する情報システムにおいて個人情報の取り扱いに不備があったと発表した。
個人情報の取り扱いを委託していない一部の委託先事業者において、ファーストリテイリングが管理する個人情報を業務上必要な範囲を超えて閲覧できる状態にあったとしている。
グループのECサイトを含む複数サービスで2023年6月から2024年1月までの期間、一部の個人情報が情報システムに保存される設定となっていたことが判明。その結果、個人情報の取り扱い委託していない委託事業者においても、保存された個人情報の閲覧が可能となっていた。なお、ファーストリテイリングの情報システムは、個人情報を保存するための仕組みになっていない。 情報システムにアクセスできるのは、ファーストリテイリングおよび委託先事業者の担当者に限定。それ以外の第三者はアクセスできないよう厳しく制限している。なお、ファーストリテイリングおよび委託先事業者の担当者からの個人情報の持ち出しは確認されていない。 ファーストリテイリングは、「この制限が有効に機能していることの確認と併せ、本情報システムへのアクセスが可能な者による個人情報の持ち出しや第三者によるアクセスがないことを確認した」としている。 対象の個人情報は2023年6月から2024年1月、グループのオンラインストアまたは店舗を利用した顧客の個人情報のうち、グループのオンラインストアを利用した顧客の氏名、住所、電話番号、メールアドレスを含むオンラインストアの会員情報。グループの店舗に来店した際、他店舗から商品の取り寄せを希望した顧客の氏名、電話番号、メールアドレス。クレジットカード情報やオンラインストアのパスワードは含まれていないという。 今回の原因は、グループの情報システムの開発段階における仕様の確認、その運用段階におけるモニタリングが不十分だったとしている。 今後、グループの情報システムの開発・運用において、業務上不要な個人情報の取り扱いが発生しないことを確認するための手続きを改めて整備。問題発生時に速やかな検知と是正を含めた運用を徹底することで、同様の事案が発生しないように努るという。