ファストリ、個人情報に取り扱い不備 原因は「情報システムの開発・運用での確認不足」

ファストリ、個人情報の取り扱い不備を発表

　「ユニクロ」や「GU」などを展開するファーストリテイリングは7月2日、同社が管理する情報システムにおいて、個人情報の取り扱いに関する不備があったと発表、謝罪した。2023年6月から2024年1月までの間、同社の情報システムに保存された個人情報が、個人情報の取り扱いを委託していない一部の業務委託先で閲覧可能な状態となっていたという。

　同社によれば、顧客に提供するサービスの稼働状況を監視するための情報システム（以下、同システム）において、本来の用途を超えた範囲の個人情報が閲覧可能な状態になっていることを、2024年1月に担当部署の従業員が確認。

　同システムへのアクセスを遮断し、個人情報保護委員会に報告した上で影響を調査したところ、オンラインストアを含む一部のサービスで、2023年6月から2024年1月までの間、一部の顧客の個人情報が同システムに保存される設定となっていたことが判明した。これらは個人情報の取り扱いを委託していない一部の委託先事業者にも、閲覧が可能な状態となっていたという。

　対象となった個人情報は、 同社グループのオンラインストアを利用した顧客の氏名、住所、電話番号、メールアドレスを含む、オンラインストア会員登録情報。また、グループの店舗で、他店舗から商品の取り寄せを希望した顧客の氏名、電話番号、メールアドレスのほか、同社が提供する着こなし発見アプリ「スタイルヒント」を利用した顧客のメールアドレスも含まれていた。情報システムの開発段階における仕様の確認と、運用段階におけるモニタリング不足が原因という。

　同システムは、あらかじめ許可された同社および委託先事業者の担当従業員のみがアクセスできるもので、それ以外の第三者によるアクセスには制限がかけられているという。同社はこの制限が有効に機能していることの確認とあわせて、アクセスが可能な者による個人情報の持ち出しや第三者によるアクセスがないことを確認した。

　また、個人情報にアクセスが可能となっていた委託先事業者とは、業務委託開始前に秘密保持契約を締結しているほか、今回の事案を受けて個人情報の保存や持ち出しをしていないことについて、改めて書面で確認。

　事案の対象となった顧客については、現在も正確に特定するための調査を継続中だが、調査の完了に向けて一定のめどがついたため、今回の公表に至ったという。対象であることが確認できた顧客には、メールもしくは手紙で順次連絡する。

　同社は再発防止に向けて、「情報システムの開発、および運用において、業務上不要な個人情報の取り扱いが発生しないことを確認するための手続を改めて整備し、また、問題発生時に速やかな検知と是正をすることを含めた運用を徹底する」とコメントしている。