ジョイフル本田、ECサイトでクレカ番号、セキュリティコードなど約4000件漏えいか 個人情報約2万件も

　ホームセンターを展開するジョイフル本田（茨城県土浦市）は5月16日、同社が運営する「THE GLOBE・OLD FRIEND オンラインショップ」が第三者による不正アクセスを受けたと発表した。クレジットカード情報3958件、個人情報2万132件が漏えいした可能性があるという。

　漏えいした可能性があるのは、2021年3月17日から24年1月18日に同ECサイトでクレジットカード決済をした顧客のクレジットカード情報の他、12年10月27日から24年1月22日に同ECサイトで会員登録または購入をした顧客の個人情報、21年3月17日から24年1月22日に同ECサイトでログイン／会員登録をした顧客のログインIDとパスワードという。

　そのうち、クレジットカード情報はカード名義人名、クレジットカード番号、有効期限、セキュリティコード、カード会員メールアドレス。個人情報は氏名、住所、電話番号、メールアドレス、購入履歴などを含む。

　不正アクセスの原因については、システムの一部の脆弱（ぜいじゃく）性をついた第三者の不正アクセスにより、不正ファイルの設置及びファイルの改ざんが行われたと説明している。同社はクレジットカード情報を保存しない運用をしていたが、Webサーバ上に不正なコードが追加され、カード情報が保存されるよう改変されていたという。

　1月18日の同社のセキュリティ調査により、情報漏えいの可能性が判明した。当日中に同ECサイトでのカード決済を停止し、22日には該当サーバをネットワークから切り離してサイトを閉鎖。2月6日から3月15日には第三者調査機関による調査を実施した。個人情報保護委員会には1月24日、2月19日、3月21日に適用法令に従って報告済みで、茨城県警察本部にも随時情報を共有しているという。

　なお、同社が運営する当該サイト以外のECサイトや実店舗での購入については、当該サイトとは完全に分離したシステムで運営しているため、今回の不正アクセスの影響はないとしている。

　該当するユーザーには5月16日から個別にメールで連絡する。同社はユーザーに対して、クレジットカードの利用明細書を確認し、身に覚えのない請求がある場合はカード会社に問い合わせるよう呼び掛けている。利用者がクレジットカードの差し替えを希望する場合、再発行手数料はジョイフル本田が負担する。あわせて、カード会社と連携して当該クレジットカードのモニタリングを実施し、不正利用の防止に努める他、システムのセキュリティ対策と監視体制を強化し、再発防止を図る。

　公表が遅れた理由については「不確定な情報の公開はいたずらに混乱を招き、お客さまへのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、及びカード会社との連携を待ってから行うことにいたしました」と説明。

　またユーザーに対し、同一のログインIDとパスワードを他サイトで使わないように呼び掛けている他、身に覚えのない電子メールが届いた場合にはメールを開かないこと、不審なリンクや添付ファイルをクリックしないこと、不審な電話がかかってきた場合には重要な個人情報は伝えないことなど、利用者に注意を促している。