不正ログインによる個人情報漏洩のお知らせとお詫び

弊社が利用していた外部のメール管理システム（以下、本件メール管理システム）の弊社用アカウントのうち１件（以下、本件アカウント）に不正ログインが行われ、同システムのメール送信機能を利用して、同システムに保存されていた一部の弊社登録スタッフのメールアドレス宛に、本件アカウントのID・パスワードが記載されたメール（以下、本件メール）が送信された事実が判明いたしました。発覚後、直ちに本件アカウントを削除しましたが、本件メールに記載されたID及びパスワードを用いてログインすることにより、同システムに保存されていた登録スタッフ7,503名分の個人情報を含む登録情報に対し、一時的に外部からのアクセスが可能な状態となっておりました。外部からのアクセスが可能な状態となっていたのは約50分間であり、この間に複数のログインや閲覧履歴が確認されましたが、登録情報のダウンロード等は確認されませんでした。また、閲覧された可能性のある個人情報は後記の通りであり、クレジットカード情報や口座情報等は含まれておりません。

　弊社では、業務上本件メール管理システムを利用する必要性のあるイベント事業部の社員の数名に対し、個別にアカウントを付与しており、ID及びパスワードは社員間でも一切共有しておりませんでした。本件は、昨年12月30日に発生した「バイトル」における弊社アカウントへの不正ログインと手口が酷似していたため、同一人物による犯行である可能性も視野に入れ、速やかに警察に被害相談を行いました。現状、弊社としましては、捜査への影響を考慮しつつ、並行して慎重に社内調査を進めているところです。

　登録スタッフの皆様をはじめ、「バイトル」を運営するディップ株式会社を含む関係者の皆様には多大なるご迷惑とご心配をおかけし、深くお詫び申し上げます。なお、本件においてディップ株式会社は無関係ですので、同社に対するお問い合わせなどはお控えください。

　現時点で把握している事実経過と閲覧された可能性のある個人情報等の項目、弊社の対応は以下のとおりですが、引き続き調査を継続し、適切に対応して参ります。


<事実経過の概要>

2月11日(日)	・22時31分に本件メールを受信した登録スタッフの一人が弊社社員に対し本件メール送信の事実をLINEで通報。 ・上記通報を確認した社員が直ちに本件アカウントの削除を手配し、22時59分には本件アカウントを削除。流出したID・パスワードでログインができない状態となる。
2月12日（月・祝）	・イベント事業部で使用している各種システムのログインパスワードを全て変更し、変更後のパスワードは社内で1名のみが知っている状態とする。 ・イベント事業部で使用するパソコンを順次新たなものに変更。 ・本件メール管理システムのシステムに保存されていた弊社スタッフ全員に対し、本件についてご連絡とお詫び。
2月13日(火)	・本件メール管理システムの運営会社に協力依頼。ログイン履歴や操作ログの調査を開始。 ・イベント事業部の社員の供述と操作ログ等を照合し検証。 ・警察に被害相談を開始（ログイン履歴や操作ログ等を提供）。

<閲覧された可能性のある個人情報等>
　氏名、住所、生年月日、電話番号、メールアドレス、性別、最寄駅、職業
　※実際の項目は登録スタッフごとに異なるため、登録情報を閲覧された可能性のある登録スタッフのうち1名以上から取得した項目を全て挙げています。

<本件への対応>
・本件アカウントの削除
・本件メール管理システムのアクセス履歴、操作ログ等の調査
・登録スタッフへの報告及びお詫び
・イベント事業部で使用している各種システムのログインパスワードを全て変更
・イベント事業部で使用する社内PCを新たなものに入れ替え
・全社員のログ管理システムを導入
・不正ログインに関与した可能性のある人物に関する調査を実施
・警察に被害相談
・個人情報保護委員会への報告


本件に関するお問い合わせは以下フォームよりお願いいたします。

以上

2024年5月31日　更新