エイチ・アイ・エスは8月22日、同社の国内バスツアー(首都圏を出発地とするもの)サイトからツアーを申し込んだ一部の顧客の個人情報が、同サイトへの外部からのアクセスにより流出する事故が発生したと発表した。
|
発表時点で、流出した個人情報悪用の被害の報告は入っていないとしている。また、同サイトは同社の他のオンライン予約サイトとは分離したシステムで運用されており、今回の事故の影響は受けないという。
同社の発表によると、8月17日に、同社が契約している外部のセキュリティの専門家より、外部サイトに国内バスツアー(首都圏を出発地とするもの)サイトに関する記述があったという情報を入手。
この情報を受けて外部からのアクセスの調査・分析を行ったところ、国内バスツアー(首都圏を出発地とするもの)サイトに圧縮ファイルのダウンロードの形跡が確認され、このファイルに顧客の個人情報が含まれていることが判明。
データの解析を行った結果、ダウンロードされた個人情報は最大1万1975名分であることがわかったという。
原因は、同サイトのリニューアルに伴い、旧サイトで申し込み済みの顧客の予約データを移行する作業を行った際、公開領域に個人情報を含む予約データが残置されたことが挙げられている。
流出した個人情報の対象は、2017年3月18日16時3分から7月27日17時30分の期間に、2017年8月1日から12月31日出発の首都圏発国内バスツアーを予約した人。
流出した情報は、予約の際に入力した一部または全部の情報となるが、クレジットカード番号・金融機関口座情報は含まれていないという。
具体的には、代表者の情報(氏名、性別、年齢、メールアドレス、住所、電話番号、ツアー名、出発日)が最大4566名、同行者の情報(氏名、性別、年齢、電話番号<入力した場合のみ>、ツアー名、出発日)が7017名、緊急連絡先(指名、電話番号)が最大392名流出した可能性がある。
個人情報が流出した顧客に対しては、8月22日より、ツアーの代表者に電子メールで連絡するという。
