ヤフー子会社のワイジェイFXは2月2日、元従業員が顧客情報を持ち出し、ネット上で公開されていたことを明らかにした。

同社によると、元従業員が無断で顧客情報と営業秘密を社外へ持ち出し、レンタルサーバー上でファイルを保存・公開していたという。保存していたファイルは、顧客情報がExcelファイル、営業秘密がパワーポイントなど。1月28日夜になり、外部より通報を受けてワイジェイFXは調査を開始し、18万5626件にのぼる情報漏えいが判明した。

このうち、12万8220件は閲覧可能な状態であったものの、アクセスがなかった。一方で、検索サイトの巡回ロボットによって5万6665件がクロールされていたほか、第三者によって741件が閲覧されていた。閲覧されていた情報は、氏名+取引情報が2件、取引情報など…のみが739件となる。なお、クロールされた情報の内訳(氏名のみ、あるいは氏名+取引情報など…の組み合わせ)は現時点で「調査中」(ワイジェイFX)としていた。

持ちだされた顧客情報の情報の組み合わせは以下の通り。

  • 外貨ex・旧MT4サービスのユーザー
  1. 氏名、住所、銀行口座、電話番号、生年月日、メールアドレス+取引情報など…11件
  2. 氏名、住所、銀行口座、生年月日、メールアドレス+取引情報など…4万9211件
  3. 氏名、住所、銀行口座、メールアドレス+取引情報など…1件
  4. 氏名、銀行口座、電話番号、メールアドレス+取引情報など…43件
  5. 氏名、住所、銀行口座、電話番号、生年月日、勤務先+取引情報など…1件
  6. 氏名、勤務先…31件
  7. 氏名、メールアドレス+取引情報など…10件
  8. 氏名+取引情報など…1万4558件
  9. 取引情報など…12万1547件

計 18万5413件

  • C-NEXサービス
  1. 氏名、銀行口座+取引情報など…169件
  2. 氏名、住所、銀行口座、生年月日、職業、勤務先+取引情報など…44件

計 213件

なお、同社の「取引情報など」には取引IDと口座開設日、入出金情報、注文・約定情報、残高情報、キャンペーンに関する情報、お問い合わせ情報が該当する。取引IDがこの情報に含まれることから、個人情報の漏えいとしてカウントしているという。

現在、同社は情報漏えいについて顧客への通知を行っている。また、現時点で情報漏えいによる二次被害は確認されていない。

同社は、情報漏えいが判明した後、事業者にアクセス遮断を依頼して検索エンジン事業者に検索結果からの削除を依頼。また、元従業員に直接ヒアリングし、保存していたデータの削除を依頼して、ただちに削除を確認した。その後、レンタルサーバー事業者からアクセスログを取得して解析し、全容がわかったことから公表にいたった。

ワイジェイFXが問題を把握した後の時系列

なお、元従業員が退社した日付や、いつ頃からデータが公開されていたかなどについては「コメントは差し控える」(ワイジェイFX)としていた。