ハーモニックは7月13日、カタログギフト販売ECサイト「カタログギフトのハーモニック」に対する第三者からの不正アクセスにより、顧客のクレジットカード情報(最大2万8700件)および個人情報(最大15万236件)が漏えいした可能性があることがわかったと発表し、謝罪の意を表明した。クレジットカード情報および個人情報が漏洩した可能性がある顧客には、個別の連絡を行っている。また、同社が運営する他サイトは、不正アクセスの対象にはなっておらず、情報漏洩の心配はないとした。システムのセキュリティ対策、監視体制を強化し、再発の防止を図る。
ハーモニックは、運営するカタログギフト販売ECサイト「カタログギフトのハーモニック」において、不正アクセスによる情報流出の可能性が判明したと発表した。
本件は、2022年2月8日、一部のクレジットカード会社から、当該サイトを利用した顧客のクレジットカード情報の漏えい懸念について連絡を受け発覚したもので、ハーモニックは「カタログギフトのハーモニック」のクレジットカード決済を同日停止した。
同時に第三者調査機関による調査を開始した。2022年4月15日に調査が完了し、2020年11月14日~2021年11月11日の期間に「カタログギフトのハーモニック」で購入した顧客のクレジットカード情報が漏えいし、一部の顧客のクレジットカード情報が不正利用された可能性、および個人情報の漏えいの可能性があることを確認。上記の事実が確認できたことから、発表に至ったとしている。
ハーモニックでは、顧客のクレジットカード情報を保有していないが、「カタログギフトのハーモニック」のシステムの一部の脆弱性をついた不正アクセスにより、ペイメントアプリケーションの改ざんが行われたという。
クレジットカード情報漏洩の可能性がある顧客は、2020年11月14日~2021年11月11日の期間中に「カタログギフトのハーモニック」においてクレジットカード決済をした最大28万700名。漏洩した可能性がある情報は、クレジットカードの名義人名、クレジットカード番号、有効期限、セキュリティコード。
一方、個人情報漏洩の可能性がある顧客は、2020年11月14日までの間に「カタログギフトのハーモニック」にて商品を購入または会員登録した最大15万236名。漏えいした可能性のある情報は、氏名、住所、電話番号、メールアドレス、性別、生年月日となる。さらに名入れ商品用に情報を入力した最大5445名は、名入れに必要な子どもの氏名などの情報も含まれる。
上記に該当し、情報漏洩の可能性がある顧客に対しては、別途個別に連絡を行うとしており、電子メールまたは書状を用いて連絡する。
さらに顧客に対し、クレジットカードの利用明細書に身に覚えのない請求項目がないか、今一度確認をお願いしたいと呼びかけるとともに、不審なメールや電話への注意を促した。本件についてのFAQを公開するとともに、問い合わせ窓口を設け、顧客の不安解消に努める。
2022年2月8日に漏洩の懸念が発覚した本件の公表が本日になったことについては、決済代行会社と協議の結果、不確定な情報の公開はいたずらに混乱を招き、顧客への迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受けたことから、調査機関の調査結果、およびクレジットカード会社との連携を待ってからの実施になったとし、発表まで時間を要したことを謝罪した。
なお、「カタログギフトのハーモニック」は、完全に分離独立したシステムで運営しているため、ハーモニックが運営する他のサイトは、不正アクセスの対象とはなっていない。同社商品を取り扱う、百貨店、総合スーパーマーケットのギフトカウンター、ギフト店で販売したカタログギフトに関しても、当該サイトとは完全に分離したシステムで顧客情報を管理している為、今回の不正アクセスによる情報の漏えいの心配はない。
今回の不正アクセスについては、個人情報保護法に則り、2022年5月16日に日本情報経済社会推進協会(JIPDEC)に報告。新潟県警察にも2022年5月10日に被害申告している。
ハーモニックは、今回の事態を厳粛に受け止め、システムのセキュリティ対策および監視体制の強化を行い、再発防止を図っていくとしている。
