クレジットカード番号を含む顧客情報流出問題でアリコジャパンは2009年11月11日、新たに1万4175件の流出が判明したと発表した(関連記事1、関連記事2、関連記事3、関連記事4、関連記事5、関連記事6、関連記事7)。既に調査して流出を特定した顧客情報と合わせて3万2359件に拡大した。平野哲 日本代表兼副会長は「結果としてこのような事態になってしまい、本当に申し訳ない」と陳謝した。
アリコはクレジットカード会社から不正使用の疑いがあると照会を受けたカード番号の情報に基づいて調査を進め、9月11日に調査結果を報告。この時点で、2008年2月下旬から4月上旬にホストコンピュータに実在したカード情報ファイルの中から1万8184件の情報が流出したと特定していた。
ところが、10月23日以降にカード会社から1万8184件に含まれないカード番号の不正使用の疑いがあるとの照会が相次ぎ、その件数は469件に上った。アリコは469件の情報について調査したところ、共通の属性を持つ1万4175件のカード情報が流出したと判断した。流出した情報はカード番号と有効期限で、氏名や電話番号などの情報は含まれていないという。
アリコが流出を確認した情報は3万2000件だが、2008年3月ごろに不自然なアクセスがあったホストコンピュータ上のカード情報ファイルには、当時のカード決済の契約者の大半に相当する約46万件の顧客情報が存在していた。太田健自 専務執行役員は「ホストコンピュータのメモリーの容量から判断すると、46万件全部は流出していない。取得可能だとしても約半分と推定する」と説明し、最大で約23万件の情報流出の可能性を示唆した。
今回特定した3万2000件以外は情報流出を特定できておらず、アリコは46万件のカード情報すべてについて、カード会社と協力して不正使用に対する監視を強化した。全顧客に対して注意を呼びかけることにしており、カード再発行の希望があれば手数料を負担する。
アリコは前回調査で特定した顧客1万8184人を含む約13万人に対しては、既に「お詫びのしるし」として金券を送付した。謝罪と再発防止を誓うテレビCMを9月から放送した後、10月から通常の商品販促用のテレビCMの放送を再開していた。しかし同社は今回、新たな情報流出が確認されたことで、再び販促用のテレビCMの自粛を決めた。また、新たに流出を確認した1万4175人の顧客に対してもお詫びのしるしを発送する予定だという。
アリコはホストコンピュータからカード情報を不正に取得した“犯人”特定の状況についても報告した。中国に所在する業務委託先の会社の1人の社員に付与したIDとパスワードでホストコンピュータに不自然なアクセスがあったことを確認している。そのうえで、これが情報流出源である可能性が極めて高いと指摘した。前回の調査で、業務委託先の複数の従業員に絞り込んでいた。
特定の1人に絞り込んだものの、データや印刷物といった物的証拠がないことや捜査が継続中であることなどを理由に、アリコは業務委託先の会社や社員に関する情報は明らかにしていない。
