カルピスは2012年7月13日、同社がキャンペーン実施のためにWeb経由で過去に集めた個人情報「9万5689件」が、2012年2月3日から7月5日までの約5カ月間、インターネット上で検索可能な状態で置かれていたことを公表し謝罪した。同社によれば、情報漏洩が判明した7月5日の当日中(22時15分)に該当サーバーからすべての個人情報を削除し、現在では閲覧できないように既に対処済みだという。
漏洩したのは、カルピスが2009年8月から10月にかけて実施した「’09年秋のHAPPY REFRESH キャンペーン」のために集めた個人情報。専用サイトからプレゼントに応募するというキャンペーン内容で、同キャンペーンに登録および応募したユーザーは「氏名」「住所」「電話番号」「メールアドレス」など10項目(任意記入事項を含む)の情報が、キャンペーンに登録したものの応募しなかったユーザーの場合は「メールアドレス」のみが閲覧可能状態にあったという。合計9万5689件の内訳は、前者が「5万4266件」、後者が「4万1423件」となっている。
上記個人情報について同社では、「そもそも同キャンペーンの個人情報はキャンペーン完了後3カ月以内に廃棄処分されるべきものだった」と説明する。ところが、個人情報を管理していた外部委託先の担当者がデータを決められた手順通り廃棄処分せず、所有するノートパソコン(会社貸与)にデータをコピーして不正に保有、その後(2012年2月3日)インターネットに接続したサーバーに移したことで今回の漏洩事故につながった。
カルピスによれば、個人情報の廃棄に当たっては2010年2月1日に外部委託先から「廃棄証明書」を受領していたという。ところが実際には、上記のように委託先の担当者が勝手にコピーして個人情報を流出させていたわけだ。同社では、キャンペーンの業務委託先が「博報堂」であり、(博報堂からの)個人情報管理再委託先が「フォーク」だったことも合わせて明らかにしている。
電話問い合わせ用の専用窓口を設置
同社によるこれまでの調査では、個人情報を削除した7月5日の直近3カ月間のサーバーへの外部アクセス件数は「87件」であり、これらのアクセスによって個人情報が実際に流出した可能性は否定できないという。ただし、個人情報が不正に利用された事実については「確認されていない」としている。
被害を受けた可能性があるユーザーに対する対応策としてカルピスでは、本日付で専用の電話問い合わせ用窓口「カルピス 専用コールセンター」(フリーダイヤル0120-252-802、受付時間は午前9時から午後9時まで)を設置。加えて、個人情報を閲覧された可能性があるユーザーに対しては、お詫びと経緯の説明とともに不正利用への注意を促すために連絡を取り始めているという。
同社では今後、同様な事態が起こらないようにするための再発防止策として、(1)外部委託先選定基準の見直し、(2)個人情報をはじめとする機密情報に関する監査方法の強化、(3)情報管理者の再教育---などを柱とした個人情報管理の強化徹底を図るとしている。
