小売大手の米TJX Companiesで,過去1年半にわたって大規模な情報流出があったことが発覚した。TJXが米国時間3月28日に米国証券取引委員会(SEC)に提出した年次報告書(Form 10-K)で明らかにしたもの。

 同書類によると,2005年7月から2007年1月の間に,同社コンピュータ・システムが不正アクセスを受けたことが分かった。米メディア各社は,情報流出の規模を約4560万件(InfoWorld)とも4570万件(CNET)とも伝えている。

 同社は2006年12月18日に不振なソフトウエアに気づき,すぐに調査を開始。米General Dynamicsと米IBMの協力のもと,12月21日に「不正侵入があったことを確信する形跡を見つけた」(TJX)。同社はこれを12月22日に当局に報告し,12月26日と27日に提携銀行やカード会社に連絡した。

 なお,「明らかに顧客情報が盗まれた」ことを最初に確認したのは12月27日。2007年1月13日に新たな顧客情報の盗難を検知し,1月17日に事件を公表した。また2月21日は「当初報告時より規模が大きい」ことを発表している。

 不正アクセスは2005年7月から2005年末までの期間,および2006年5月半ばから2007年1月半ばまでの期間に行われたが,顧客情報窃盗は2006年12月18日を最後に発生していないという。

 不正アクセスを受けたのは米マサチューセッツ州フラミンガムにあるシステムと,英ワットフォード市にあるシステム。両システムには,同社傘下の販売店で商品購入に使われたクレジット・カード,デビット・カード,小切手に関する情報などが含まれる。ワットフォードのシステムには個人を特定する情報は格納していないが,フラミンガムのシステムには運転免許番号や社会保障番号などの一部個人情報を保存していた。

[発表資料(PDF書類)]