ベイシアは11月1日、 ECサイト「ベイシアネットショッピング」の制作・運用委託先に対する第三者による不正なアクセスが確認され、顧客のクレジットカード情報(3101 件)および、個人情報(25万4207 件)が流出した可能性があることがわかったと発表し、謝罪の意を表明した。システムのセキュリティ対策および監視体制を強化し、再発防止を図る考えを示し、同ECサイトの運用再開は外部機関による安全性の確認ができてからになるとした。
同流出は、9月1日に一部のクレジットカード会社から、「ベイシアネットショッピング」を利用した顧客のクレジットカード情報の流出に関する懸念について連絡があり、確認を行った結果、不正アクセスのおそれが判明したもの。同日中にの「ベイシアネットショッピング」のサービスを停止し、第三者調査機関による調査を開始。10月13日に調査機関による調査が完了した。その結果、2021年4月26日から年8月1日までの間に「ベイシアネットショッピング」で購入した一部の顧客のクレジットカード情報、および過去に注文をした顧客の個人情報が流出した可能性があることを確認。その後、クレジットカード会社等と連携し、詳細な事実確認を行い、今回の発表に至ったとしている。
同流出の原因は、「ベイシアネットショッピング」の制作・運用委託先(東芝テックおよび、ジーアールのシステムへの第三者による不正アクセスによるもの。情報流出の可能性がある顧客は、2021年4月26日から2021年8月19日の間に同サイトでクレジットカード番号を入力した顧客(対象:3101件)、2013年10月1日から2021年4月26日の間に同サイトに会員登録をした顧客(対象:3万9101件)、2013年10月1日から2021年8月6日までの間に同サイトで会員登録をせずゲスト購入した顧客(対象:2万1340件)、2013年10月1日から2021年8月6日間に予約カタログ注文にて店頭受取した顧客(対象:19万3766件)。なお、現在は別のシステムにて顧客の予約管理を行っており、同様の事象は発生しないシステム環境で運営している。
2021年4月26日から2021年8月19日の間に同サイトでクレジットカード番号を入力した顧客(対象:3101件)のクレジットカードについては、クレジットカード会社が継続してモニタリングを実施し、不正利用の防止に努めるとしている。同時に該当する顧客にクレジットカード利用明細書の確認を呼びかけ、身に覚えのない請求項目の記載があった場合は、カード会社に問い合わせをしてほしいとしている。また、該当する顧客がクレジットカードの差し替えを希望する場合、カード再発行の手数料の負担が発生しないよう、ベイシアよりクレジットカード会社に依頼したとしている。
「ベイシアネットショッピング」は、現在サービスを停止しており、外部からのアクセスは全て遮断する対策を行っている。管理は外部に委託していたため、ベイシアではクレジットカード情報を保有していなかった。また、「ベイシアアプリ」「ベイシアポイントカード」「タッチ de デリカ」は、別のシステムを使用しており、同流出とは関係性がないとした。
今回の流出については、11月1日に発表するとともに、対象の顧客に対し、「ベイシアネットショッピング」登録のメールアドレスに案内メールを送付している。不確定な情報の公表は不要な混乱を招くおそれがあったことから、クレジットカード会社等と協議の上、第三者調査会社の調査結果を待ち、クレジットカード会社その他の関係機関との連携を確保した上で公表に至ったとし、それにより公表まで時間がかかったことを謝罪した。
ベイシアでは、この度の事態を厳粛に受けとめ、調査結果を踏まえてシステムのセキュリティ対策および監視体制を強化し、再発防止を図っていく考えを示した。同サイトは9月1日より停止しており、それ以後の情報漏洩は確認されていないとし、今後は外部機関による安全性が確認できてから運用を再開するとしている。また、今回の不正アクセスについては、9月22日に個人情報保護委員会に報告するとともに、9月3日には所轄警察署にも状況を報告しており、今後情報提供等に全面的に協力していく考えを示した。
