クラウド型予約管理システム「チョイスリザーブ」

お問い合わせ記録情報への不正アクセス発生についてのお詫びとご報告

平成30年4月13日

各位

株式会社リザーブリンク
代表者名 代表取締役 山本浩史

 

当社製品ChoiceRESERVEに対するWEBサイトからのお問い合わせ記録情報のうち、個人情報を含む一部の情報が元従業員により不正に閲覧され、メール・電話による営業行為に利用されていた事が判明いたしました。

対象となる事業者様ならびに関係各位にご心配とご迷惑をお掛け致しました事を深くお詫び申し上げます。
なお、対象の情報は閲覧・営業行為への利用が行われたのみで記録等はされておらず、他所への漏洩の事実もないことから、今後更に二次被害等の問題が発生する懸念はないことを確認済みです。
以下、本件についてご報告致します。

<経緯>

2018年3月27日 17時30分: 当社製品の予約システム「ChoiceRESERVE」にお問い合わせを頂いた1事業者様から電話を頂き、当社とは異なる別の予約システム販売事業者から不審な営業連絡(公開していないメールアドレスへのメール及び架電)があり、弊社へのお問い合わせ情報が漏洩している可能性をご指摘頂き、事態が発覚いたしました。

なお、直後の確認で、不審な営業を行った事業者は過去に当社と資本関係のあった株式会社医療予約技術研究所(以下、医療予約技術研究所)である事が分かりました。

補足:当社製品へのお問い合わせは、製品WEBサイトのフォームで受け付けており、そこで登録された情報は営業管理ツールでデータベースとして管理されています。

同日 17時45分: インシデントの発生を当社内に通知し、情報漏洩の可能性に対する調査を開始致しました。

同日 18時00分: 医療予約技術研究所に対し電話にて不正な営業活動の経緯について調査の依頼を致しました。

同日 18時27分: 当社営業管理ツールのアクセスログを確認したところ、未把握の接続元IPから共用IDでのログインが確認されたため、即時ログインパスワードの変更を致しました。

同日 23時35分: 医療予約技術研究所より当社担当者に電話で連絡があり、当社の元従業員である営業社員1名が2017年7月1日から当日(2018年3月27日)までの間、当社の営業管理ツールに不正ログインしていたという報告を受けました。
当該の営業社員は当社製品に対するお問い合わせ情報を不正に閲覧し、自社の営業活動に利用できると判断した医療関連、健康診断関連のお問い合わせのみを選定した上でそれらの事業者様に電話・メールによる営業行為を行っておりました。

<影響範囲>

閲覧対象情報:
2017年7月1日から2018年3月27日 18時27分の間に当社製品ChoiceRESERVEのサイトに設置された問い合わせフォームからお問い合わせを頂いた事業者様(最大1,101件)の問い合わせ情報。お問い合わせ時に記入されていた場合には、以下の個人情報が含まれております。

氏名、会社名、住所、メールアドレス、電話番号

影響:
特定の1名の部外者(元従業員)がお問い合わせ情報(最大1,101件)の閲覧をしておりました。また、閲覧した問い合わせのうち、医療関連、健康診断関連のお問い合わせの一部である29件の事業者様に電話・メールによる営業活動をしておりました。

尚、医療予約技術研究所を通じ不正行為を実施した本人への聴取、メール送信の監査ログ、PCの調査等の裏付け調査の結果、上記の閲覧行為は自身の営業活動に利用できると判断した情報(医療系の事業者様の一部である29件)のみであり、営業活動以外の利用、データの保存は行われていない事を確認しております。また、当社営業管理ツールのアクセスログを確認し、本件以外の不審なログインは一切存在しない事、対処を行った2018年3月27日 18時27分から現在に至るまで営業管理ツールに不正なログインがない事を確認しております。
尚、本件に関する二次被害は発生しておりません。

<原因>

元従業員の弊社営業管理ツールへの不正ログイン及び情報窃取が直接原因です。
なぜ元従業員が不正ログインを行うことが可能だったか、という本件の原因ですが、弊社では、各種ログインIDは各個人への個別発行が原則となっており、それらIDの棚卸しは定期的、従業員の退職時等に実施しております。しかし、当該営業管理ツールの共用IDに対するパスワード変更等の管理は不定期となっていたため、元従業員は、既知の共有IDと、退職時点で有効だったパスワードでログイン可能な状態となっておりました。

<対応状況>

(1)緊急対応として、営業管理ツールの共用アカウントのパスワード変更を実施致しました。尚、現在は共用アカウントの利用を禁止とし削除しております。
(2)影響のあった可能性がある全1,101事業者様に対し、お詫びとお知らせのご連絡をメールにて行いました。
(3)一般財団法人放送セキュリティセンターに対して個人情報保護に関するガイドラインに従い文書による報告を行います。

<再発防止>

・アカウント管理ルールの周知、徹底
営業管理ツールにおいて共用IDの利用は原則禁止とするルールを改めて全社的に周知し、運用が徹底されている事を確認する仕組みを運用して参ります。

・第三者による指導
第三者(セキュリティの専門会社)と協議し、全社的なセキュリティレベルの向上及び定常的なセキュリティ対策の改善を図ります。

・情報資産全般の管理見直し
同様の事態を起こさないよう、情報資産全般の管理・運用の見直しを図っております。具体的にはISO27001の規格・要求事項に則った情報セキュリティマネジメントシステムの構築を目指します。

対象となる事業者様にはご心配とご迷惑をお掛け致しました事を深くお詫び申し上げるとともに、当社は本件の重大性を厳粛に受け止め、今後このような事が起こらないよう再発の防止策を徹底して参ります。

<本件に関するお問い合わせ先>

〒107-0062 東京都港区南青山1丁目1番1号
株式会社リザーブリンク 個人情報問合せ窓口
TEL:03-5772-7123(平日11:00 ~ 18:00)