HIS、最大1.2万人の顧客情報流出、ヒューマンエラーで

  • 2017年8月22日

 エイチ・アイ・エス(HIS)は8月22日、同社の首都圏発国内バスツアー専用サイトでツアーを申し込んだ顧客のうち、最大で1万1975人分の個人情報が外部からのアクセスにより流出する事故が発生したと発表した。情報システム部門のスタッフのヒューマンエラーが原因で、17日に同社が契約している外部のセキュリティ技術専門家からの指摘で発覚した。同社広報室によれば、22日14時時点では、個人情報を悪用されたとの情報は入っていないという。

 流出した個人情報は、今年の3月18日から7月27日までの間に、8月1日から12月31日までに出発するツアーを予約した顧客の氏名や性別、年齢、メールアドレス、住所、電話番号など8種類。クレジットカード番号や金融機関口座情報などは含まれていない。1万1975人の内訳は、ツアーの申込者が4556人、同行者が7017人、緊急連絡先として登録された人が392人で、一部の名前は重複する。

 HISによれば、8月2日に同サイトを更新した際、一部の顧客情報の予約データの移行作業を誤り、外部からアクセスできる公開領域にデータが残ったという。17日に専門家から得た情報をもとに社内調査を実施し、外部からのアクセスを分析したところ、14日と15日に計3回、同サイトから圧縮ファイルがダウンロードされた形跡があったという。なお、同サイトは他のHISのオンライン予約サイトとは別のシステムで運営しており、他のウェブサイトへの影響はない。

 HISは18日に観光庁、個人情報保護委員会、日本旅行業協会(JATA)、プライバシーマーク制度の運用機関である日本情報経済社会推進協会(JIPEC)に事故を報告。21日には所轄の新宿警察署に相談するとともに、顧客からの問い合わせに応える体制ができたことから、22日にウェブサイトで事実を公表した。

 22日の午前中には、ツアーの代表者に対して電子メールで報告。あわせて電話での相談窓口に加えて、公式サイトなどに専用の問い合わせフォームを設け、10月末まで対応することとした。すでに利用者からは問い合わせが複数来ているという。

 旅行会社の個人情報が流出した事例としては、昨年6月にジェーティービー(JTB)と札幌通運の2社でサーバーへの不正アクセスによる個人情報流出事案が発生している。HISは、今後はヒューマンエラーの防止に向け、改めて内部のチェック体制をより厳格化するとともに、情報システム部門のスタッフの教育研修体制や、第三者専門機関によるチェック体制、システム開発管理体制の強化などをおこなうとしている。相談窓口の連絡先は以下の通り。

▽HIS、個人情報流出に関する専用相談窓口
TEL:0120-447-583
受付:平日10:00~18:30
※8月26日(土)、27日(日)は相談を受け付ける