菅公学生服は3月4日、「カンコーオンラインショップ原宿セレクトスクエア」において、第三者による不正アクセスにより、顧客のクレジットカード情報が漏洩した可能性が判明したと発表した。
菅公学生服は、運営する「カンコーオンラインショップ原宿セレクトスクエア」において、第3者による不正アクセスを受け、顧客のクレジットカード情報が漏洩した可能性が判明したとし、謝罪の意を表明した。
同社は、2023年9月27日に、一部のクレジットカード会社から自社サイトを利用した顧客のクレジットカード情報の漏えい懸念について連絡を受け、2023年9月27日に「カンコーオンラインショップ原宿セレクトスクエア」でのカード決済を停止。同時に、第3者調査機関による調査を開始した。
2023年12月8日、調査機関による調査が完了し、2021年4月25日~2023年8月21日の期間に「カンコーオンラインショップ原宿セレクトスクエア」で購入した顧客のクレジットカード情報が漏えいし、一部の顧客のクレジットカード情報が不正利用された可能性があることを確認。これらの事実が確認できたため、今回の発表に至ったとしている。
漏洩の原因は、「カンコーオンラインショップ原宿セレクトスクエア」のシステムの一部の脆弱性をついた第3者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためとしている。
個人情報漏洩の可能性があるのは、2021年4月25日~2023年8月21日の期間中に「カンコーオンラインショップ原宿セレクトスクエア」においてクレジットカード決済をした顧客3827名(対象者は一部確認中)。漏えいした可能性のある情報は、クレジットカード番号、有効期限、セキュリティコードとなる。個人情報が漏えいした可能性が判明している顧客には、2024年3月4日より、電子メールにて個別に連絡を行っている。
菅公学生服では、すでにクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めている。一方で、顧客においてもカードの利用明細書に身に覚えのない請求項目がないか、今一度確認を呼びかけた。身に覚えのない請求項目の記載があった場合は、クレジットカードの裏面に記載のカード会社への問い合わせるよう依頼している。
なお、クレジットカードの差し替えを希望する顧客には、カード再発行の手数料の負担が生じないよう、菅公学生服からクレジットカード会社に依頼している。
2023年9月27日の漏えい懸念から今回の案内に至るまで時間がかかったことについては、不確定な情報の公開はいたずらに混乱を招くことから、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、調査会社の調査結果、およびカード会社との連携を待ってからの発表になったとし、時間を要したことに重ねて謝罪を述べた。
菅公学生服は、このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策、および監視体制の強化を行い、再発防止を図っていくとしている。
なお、今回、個人情報漏えいが確認された「カンコーオンラインショップ原宿セレクトスクエア」は、個人情報漏えいが確認される前の2023年8月22日に閉鎖していた。その後、同名称で「カンコーオンラインショップ原宿セレクトスクエア」を2023年8月23日に立ち上げているが、2023年9月27日に発覚した個人情報漏洩は、閉鎖済みの「カンコーオンラインショップ原宿セレクトスクエア」の取引が対象となる。
2023年8月23日に立ち上げた新たな「カンコーオンラインショップ原宿セレクトスクエア」、および自社が運営する学校向けECサイト、採寸システム、ショップシステムなどは、旧サイトとは完全に分離したシステムで運営しているため、今回の不正アクセスの対象にはなっていない。
今回の不正アクセスについては、監督官庁である個人情報保護委員会には2023年12月12日に報告している。所轄警察署にも2023年12月15日被害申告しており、今後捜査にも全面的に協力していく考えを示した。
