森永製菓は3月22日、管理運用する複数サーバーにおいて、不正アクセスが発生し、通信販売事業「森永ダイレクトストア(旧:天使の健康)」の一部の顧客の個人情報が外部流出した可能性を否定できないことがわかったと発表し、謝罪の意を表明した。この個人情報には、クレジットカード情報は含まれていない。
森永製菓は、管理運用する複数サーバーに対する不正アクセスにより、一部の顧客の個人情報が外部流出した可能性があると発表した。この個人情報には、氏名・住所・電話番号・生年月日・性別・メールアドレス(一部)・購入履歴が含まれるが、クレジットカード情報は含まれていない。また現在、本件に関わる個人情報の不正利用等は確認されていないとしている。
本件が発生したのは、3月13日の深夜。同社が管理運用する複数サーバーに障害が発生し、原因を調べたところ、第三者による不正アクセスの痕跡が見つかった。この影響により、一部の社内システムにおいて障害が発生したとしている。同社ではさらなる拡大を防ぐため、直ちに外部ネットワークとの遮断を行い、3月14日に対策本部を立ち上げ、外部専門機関の協力のもとで、不正アクセスを受けたサーバーの範囲と状況、原因等の調査、復旧の検討を開始した。
初期調査段階で、同社の複数のサーバーへの不正な侵入と、内部の一部データがロックされていることを確認。侵入されたサーバーには、「森永ダイレクトストア」で顧客への商品発送に関する情報を補完するサーバーが含まれており、その情報がロックされていること、顧客の個人情報が含まれていることが判明した。
顧客の個人情報が外部に持ち出された可能性について、外部専門機関による確認を進めており、その痕跡は現在まで確認されていないが、流出の可能性を完全に否定することは難しく、2次被害を防ぐことを最優先と考え、今回の発表に至ったとしている。侵入経路は、インターネット回線に設置していたネットワーク機器の脆弱性を悪用され、侵入された可能性が高いことが判明した。現在は、当該インターネット回線を完全に遮断し、さらなる不正アクセスが起きないよう対策をとっている。個人情報保護委員会への報告と諸葛警察署への届け出も完了している。
外部流出した可能性のある個人情報は、2018年5月1日から2022年3月13日の間に「森永ダイレクトストア(旧:天使の健康)」を利用した164万8922人の顧客の氏名、住所、電話番号、生年月日、性別、メールアドレス、購入履歴。メールアドレスは、一部ECショッピングモールを利用した顧客3887人(約0.2%)が対象。クレジットカード情報は含まれていない。森永製菓では、対象の顧客に対し、3月28日より順次、郵送で連絡を行うとともに、専用窓口を設け、問い合わせに対応する。
今回の不正アクセスにより障害が発生した社内システムは現在復旧しているが、製造に関するシステムの一時停止による一時的な在庫の減少、製造計画の変更などにより、一部の商品の供給に対する影響が残っている。一方、現時点での業績への影響は軽微であると見込んでいる。
森永製菓では今回の事態を重く受け止め、外部専門機関の協力も得て、原因究明を進めるとともに、今まで以上に厳重な情報セキュリティ体制の構築と強化徹底を図り、再発防止に取り組んでいく考えを示すとともに、顧客並びに関係者への謝罪の意を表明した。
