2017年7月12日

お客様各位

常磐興産株式会社    
代表取締役社長 井上直美

不正アクセスによる個人情報流出に関するお詫びと報告

 この度は、弊社の公式ショッピングサイト「ハワイアンズモール(http://www.hawaiians-mall.com/index.html/)」を運営委託している株式会社システムフォワードの提供するシステムが、外部からの不正アクセスを受け、一部のクレジットカード情報等が流出していること(以下「本件」といいます)が、調査の結果判明いたしました。

 お客様に多大なるご迷惑とご心配、ご不安をお掛けいたしますことを心よりお詫び申し上げます。

 弊社では、既に公式ショッピングサイト「ハワイアンズモール」のクレジット決済の利用を停止しております。また、いわき中央署に報告し相談(7月1日)しておりますとともに、原因や被害状況の詳細につきまして鋭意調査を進めております。

 本件に関し、現時点で判明している本件の概要と弊社の対応につきまして、下記の通りご報告いたします。

1. 事案の概要

(1) 流出したお客様情報

情報流出の可能性が判明した後、弊社は直ちに外部専門会社「Payment Card Forensics株式会社」(以下、「PCF社」といいます。)に調査を依頼し、6月30日に同社から報告された調査結果により、以下の状況が判明しました。

対象:2017年2月10日〜2017年5月25日の間に公式ショッピングサイト「ハワイアンズモール」(物販・eチケット・施設内リストバンド決済の申し込み)に於いて、クレジットカード決済が行われたお客様情報。

スパリゾートハワイアンズ施設内でのクレジットカードのご利用、および弊社宿泊予約サイトにおいてクレジットカードをご利用になられたお客様の情報は被害を受けておらず、今回の流出の対象ではございません。

項目:カード会員名、カード番号、住所、カード有効期限、セキュリティコード
※パスワードは含まれておりません。

件数:最大 6,860件

(2) 原因

 PCF社の調査結果では、公式ショッピングサイトのシステムで使用しているソフトウェアの脆弱性を衝いた、外部からの不正アクセスによるものと推定しています。引き続き、警察の捜査に協力するとともに、社内調査を行い、原因究明に努めます。

2. 発覚と対応の経緯

  • (1) 2017年5月25日、クレジットカード決済代行会社より、クレジットカード情報流出の可能性があるとの指摘を受け、公式ショッピングサイト「ハワイアンズモール」のクレジットカード決済の利用を停止いたしました。また、不正アクセスの全容解明および被害状況の把握に向け、社内調査を進めるとともに、PCF社に依頼し、調査を実施しました。
  • (2) 2017年6月30日、PCF社から最終調査結果報告を受領しました。同社の報告により、不正アクセスによるクレジットカード情報等が流出したことが判明しました。

3. 弊社の対応

 弊社は、一部ショッピングサイトでのクレジットカード情報の流出との報告を受けて、直ちに以下の通り対応を行いました。

  • (1) ショッピングサイトでのクレジットカードの利用停止
  • (2) 不正アクセスの監視強化
  • (3) クレジットカード会社に対する不正利用モニタリングの実施要請
  • (4) 関係官庁(個人情報保護委員会他)への報告
  • (5) 警察への報告及び相談

4.お客様へのご報告とお願い

 お客様に対しましては、本報告書によってお知らせ申し上げるとともに、今回の公式ショッピングサイトでのカード利用情報の流出に対して、ご注意、ご確認いただきたい点がございますので、以下、お願い申し上げます。

  • (1) クレジットカード利用明細書で身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。 流出した可能性があるクレジットカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各クレジットカード会社へ、不正利用の監視強化を依頼しております。
    カード明細書に身に覚えのない請求がございました場合は、大変お手数ではございますが、クレジットカード裏面に記載のカード発行会社へお問い合わせをいただきますよう、お願い申し上げます。
  • (2) カード情報が流出した可能性のあるお客様のクレジットカードにつきまして、再発行をご希望の場合、大変お手数をおかけして申し訳ありませんが、クレジットカード裏面のカード発行会社にお客様から直接、お問い合わせいただきますようお願い申し上げます。
    なお、カード再発行の手数料につきましては、お客様のご負担にならない様カード会社に依頼しております。
    ※情報流出の可能性のあるお客様以外の方につきましては、再発行等の必要はございません。
  • (3) 本件に関するご連絡は、メールにファイルを添付してお送りすることはございません。
    不審なメールにつきましては、メール及び添付ファイルの開封を控えるなど、くれぐれもご注意くださいますよう、お願いいたします。
  • (4) お客様にお心当たりのないクレジットカード利用等の不審な点等がございましたら、下記のお問い合せ専用窓口までご連絡をお願いいたします。警察および関係官庁と連携し、誠実に対応を進めてまいります。

5. 再発防止策

 弊社は二度と同様の事案を起こすことのないよう、セキュリティ専門会社のアドバイスのもと、ショッピングサイトのセキュリティ強化およびチェック機能の強化を実施してまいります。

  • (1) PCIDSSに準拠した安全なシステムへの改善に全力で取り組んでまいります。(決済代行会社が提供するリンク型システムへ移行準備予定)
  • (2) ショッピングサイトの脆弱性対策として、プログラムの修正などの適切な対処を継続して実施してまいります。
  • (3) ショッピングサイトの脆弱性診断を定期的に実施します。

6. 公表が遅れた経緯について

 2017年5月25日の個人情報流出懸念の判明から今回のご報告に至るまで、時間を要しましたことを深くお詫び申し上げます。

当初個人情報流出の疑いが生じた時点でお客様にご連絡し、注意を喚起すると共に、お詫び申し上げるべきではないかと検討いたしましたが、決済代行会社との協議の中で、「不確定な情報の公開はいたずらに混乱を招くおそれがあるため、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠である」との説明を受け、当該ショッピングサイトのクレジットのご利用は直ちに停止いたしましたが、公表・ご報告は外部の専門調査会社の調査結果により、事案の概要を把握した上で、クレジットカード会社との連携を確保した後行うべきことと判断いたしました。

 今回の発表までお時間を要しましたことを、重ねてお詫び申し上げます。

本件に関するお問い合わせ専用窓口 <お客様特別相談室>
専用フリーダイヤル :0120-034-294
受付時間 : 午前10時〜午後8時 (土日祝含む)