出光クレジット会員サイト「ウェブステーション」に不正アクセス 漏洩懸念から公表まで8日

2022年8月4日、株式会社出光クレジットが運営する会員サイト「ウェブステーション」サイトが第三者によるプログラム改ざんを受け、会員の生年月日とクレジットカード情報(クレジットカード番号、有効期限、セキュリティコード)が漏洩した可能性があることを公表しました。(漏洩件数は非公表)

 

漏洩懸念から公表まで8日

公表内容ではベンダー(サービス提供企業)から2022年7月28日に漏洩懸念を把握、2022年8月1日に経済産業省、関東財務局等へ報告、2022年8月4日に公表(対象会員には既に連絡済み)に至っています。
※改ざんプログラムの修正は2022年7月26日にベンダーによって実施済み

2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内(不正アクセスの場合は60日以内)に行う必要があると定められています。

>>【改正個人情報保護法】報告・通知が義務化

 

 

情報流出
生年月日とクレジットカード情報が漏洩(件数は非公表)
要因
第三者によるプログラム改ざん

被害企業概要

対象サイト
本社所在地
東京都墨田区両国2-10-14 両国シティコア18階
資本金
19億5,000万円
事業内容
クレジットカード事業
融資事業
決済代行事業
プリペイドカード事業
リース事業
保証事業
従業員数
298名

実施しておきたい対策

脆弱性平時から情報漏洩に備えるの事前診断

2022年4月1日施行の改正個人情報保護法では不正アクセス等、故意による場合は漏洩のおそれも含めて、個人情報保護委員会への報告と本人への通知を義務付けています。また改正法では、速報を5日以内、確報を30日以内(不正アクセスの場合は60日以内)に行う必要があると定められています。
情報漏洩の懸念が確認された際、速やかに実態を把握し、公表することが二次被害、類似被害の抑制に繋がります。漏洩懸念の発生時に、誰が、どのような流れで、情報を取りまとめるか、といった体制を構築しておくことで、改正法で定義された期間内での通知・報告が可能になります。

>>【改正個人情報保護法】報告義務の内容と期限について

Case Study
その他のサイバー攻撃 被害事例