NTTドコモは6月14日、JTBから同社のグループ会社であるi.JTBのサーバに対して不正なアクセスがあり、個人情報が流出した可能性があるとの報告を受けたと発表した。あわせてi.JTBの提携先の1つにドコモが提供している「dトラベル」サービスも含まれているため、dトラベルについても個人情報が外部に流出した可能があるとの報告も受けている。なお、現在のところ不正アクセスに伴う個人情報を悪用されたなどの報告はないという。
NTTドコモでは6月2日、i.JTB社サーバーへの不正アクセスに伴いdトラベルの個人情報についても流出の可能性がある旨、およびその経緯についてi.JTBより報告があったという。6月10日にJTBにおける調査の結果、個人情報が外部に流出した可能性があると特定された約793万人分の中にdトラベルについても約33万人分が含まれているとの報告があったという。
3月15日にi.JTBのパソコンに取引先を装ったメールが届き、添付ファイルを開いたことにより、i.JTBのパソコンがウィルスに感染。3月19日(土曜)~24日(木曜)、i.JTBが社内の本来個人情報を保有していないサーバにおいて、内部から外部への不審な通信を複数確認したという。
i.JTBは不審な通信を特定し遮断するとともに、ネットワーク内のサーバ、パソコンの調査を実施。その結果i.JTBは、4月1日に「外部からの不正侵入者が3月21日に作成して削除したデータファイル」の存在を確認。i.JTBが、委託先であるセキュリティ専門会社と共同でウィルスの駆除を行うと同時に、データファイルの復元と不正なアクセスの調査・分析・対応を継続して実施した。
5月13日、i.JTB社は復元したデータファイルに個人情報が含まれていることを確認し、個人情報の流出の可能性があることが判明。復元したデータファイルに含まれていた個人情報の項目は、氏名(漢字、カタカナ、ローマ字)、性別、生年月日、メールアドレス、郵便番号、住所、電話番号、パスポート番号、パスポート取得日の個人識別情報の一部または全部となる。なお、クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていないという。
対象となるユーザーはdトラベルを使い、オンラインで国内宿、国内ツアー、および海外ツアーを予約したユーザーの情報(2014年2月27日から2016年3月21日までに予約したユーザーが対象)。i.JTBのサーバーへの不正なアクセスにより、個人情報が外部に流出した可能性があると特定された約793万人のうち、dトラベルについても約33万人分含まれていると6月10日に報告を受けている。
NTTドコモは、JTBから特定された外部への不正通信を遮断と感染範囲の特定とウィルス駆除、個人情報へのアクセス制御の強化について完了したことの報告を受けるとともに、その対策の妥当性を確認している。
今後のユーザーへの対応として、現状では個人情報流出の事実は確認されていないが、個人情報が外部に流出した可能性があると特定されたユーザーには、予約時に登録したメールアドレス宛てに順次メールにて連絡するとしている。また、今後新たな事実が明らかになった場合には、速やかに連絡するという。
個人情報を悪用されたことによる被害を受けたという報告はないが、万一、当該データを悪用したと思われる不審な連絡や被害を受けた場合、dトラベル専用問い合わせ窓口(本日設置)への連絡を求めている。
連絡先はフリーダイヤルで0120-569-222、受付時間あ9:00~20:30(土曜・日曜・祝日含む)、今後の対応は今回の事態を厳粛に受け止め、再度このような事態が発生しないよう、提携先も含めた個人情報管理の徹底を行い、ユーザーの信頼回復に全力を挙げていくとしている。
