シンゾーンの個人情報漏えいに関する詳細発表と今後の対策
2024年5月22日、ファッションブランド「シンゾーン(SHINZONE)」は、個人情報が漏えいする可能性があることを公式に発表しました。
この発表によると、社内で使用しているポータルサイトがクラウド環境の誤設定により、一般公開状態になっていたことが判明しました。
このミスにより、ポータルサイト上で管理されていた顧客情報や従業員情報が外部からアクセス可能な状態になっていたのです。
漏えいの詳細
漏えいの対象となった情報には、顧客の氏名、住所、電話番号、メールアドレス、生年月日、性別、購入履歴、問い合わせ内容、職業、婚姻歴などが含まれます。
影響を受ける可能性がある人数は最大で42,400人にも上ります。
また、同社の従業員の氏名や顔写真も漏えいの対象となっており、その人数は最大で75人に達します。
公開されていた期間
この情報が外部からアクセス可能だった期間は、2023年8月2日から2024年5月15日までの約9か月間にわたります。
この事態が発覚したのは、2024年5月15日で、社外の取引先からの指摘によって明らかになりました。
現在は、ポータルサイトを非公開設定にし、関連システムのパスワードを変更するなど、即時の対策が施されています。
発覚後の対応
シンゾーンの広報担当者は、今回の問題に関して、「全社を挙げて原因究明に努めており、個人情報の管理体制を一層強化するための再発防止策について真剣に検討を重ねています」と述べました。
また、「お客様に安心してご利用いただけるよう、迅速かつ適切な対策を講じていく」とのコメントも発表しています。
現時点では、不正アクセスが原因ではなく、外部からのアクセスの形跡も確認されていませんが、個人情報保護委員会への報告は既に行われています。
専門家の見解と提言
個人情報保護法に詳しい弁護士、日置巴美氏は、今回のインシデントについて以下のように指摘しています。
「今回の事件を機に、シンゾーンは法令順守や再発防止策の検討を強化する必要があります。また、職業や婚姻歴など、必ずしも必要とは言えない情報を収集しないことで、リスクを減らすことが可能です」と述べました。
さらに、日置弁護士は、「現在の公表内容では、対象となった顧客や従業員の不安を完全に払しょくすることは難しいでしょう。インシデントが発生した具体的な理由や、どのような範囲・状況で情報が公開されていたのかについての詳細が明らかになり次第、迅速に公開し、対象者がリスクを評価できるようにすることが重要です」と強調しました。
また、「システムがどんなに強固なセキュリティを持っていても、人為的なミスによりインシデントが発生することもあります。そのため、ワークフローの見直しや担当者の継続的な教育も必要です」と述べています。
まとめ
今回のシンゾーンのインシデントは、クラウド環境の設定ミスによる個人情報漏えいのリスクを浮き彫りにしました。
企業は、情報セキュリティの強化に加えて、人為的ミスを防ぐためのプロセスや教育の重要性も認識しなければなりません。
シンゾーンが今後どのような対策を講じるのか、また、どのようにして顧客や従業員の信頼を回復するのかが注目されます。
