三菱UFJニコス、40万人分の一部カード情報が業務受託先でも閲覧可能だったと判明 システムの誤設定で

三菱UFJニコス、40万人分の一部カード情報が業務受託先でも閲覧可能だったと判明

　三菱UFJニコスは1月22日、同社および同社とともにカード事業を行うフランチャイジー各社、同社がカード業務を受託する企業を含めた合計16社間で、保有するカード情報の一部が自社以外の15社の業務端末でも閲覧可能になっていたと公表した。約40万人分のカードについて、カード番号や有効期限、口座番号、入会日が確認できる状態だったという

　三菱UFJニコスのほかに不具合が生じていたのは、au フィナンシャルサービス、OKBペイメントプラット、小田急電鉄、九州カード、札幌北洋カード、清水リース＆カード、たいこうカード、大東クレジットサービス、中京カード、東和カード、とちぎんカード・サービス、名古屋エム・シーカード、西日本旅客鉄道、みちのくカード、ローソン銀行。

　なお、IDやパスワード、セキュリティコード、氏名、住所、生年月日は閲覧できない状態だったという。2024年12月に本件発覚後、対象端末ではすでに他社のカード情報を閲覧不可にしており、現時点で閲覧できる状態だった情報の不正利用は確認していないとしている。

　問題となった業務端末では、情報の照会・登録のみができ、他の媒体に書き出しはできない。また16社では、ID・パスワードによって業務端末の閲覧権限を制限しているほか、個人情報の取り扱いに関する安全管理を徹底しているとして、「今後も本件に起因しカードの不正使用が発生する可能性は極めて低い」と説明している。

　不具合の原因は、三菱UFJニコスによるシステムの誤設定。システム改修時に発生したとしており、今後、自社会員の情報のみを閲覧できるようシステムの仕様を変更するとともに、システム改修時にはより厳格なチェックをするとの方針を示した。