ヤフー完全子会社のFX(外国為替証拠金取引)事業者であるワイジェイFX(YJFX)は2016年2月2日、元従業員によって顧客情報など約18万件超がインターネット上のレンタルサーバーに掲載され、検索エンジンなどを通じて外部に流出したと発表した。

 YJFXの説明によれば、流出の事実は1月28日に外部から通報を受けて発覚した。その後の調査で、2015年11月初旬に、顧客情報にアクセスできる立場にあった従業員(後に退職)に貸与していたノートPCからレンタルサーバーに直接アップロードされた記録が残っていた。

 YJFXは2016年1月29日にレンタルサーバー上の情報を確認し、サーバー事業者にインターネットからのアクセス遮断を依頼し、同日中に遮断された。同日、検索エンジン事業者にも検索結果からの削除を依頼し、2月2日までに検索結果からの削除が完了したことを確認したうえで、対外発表に踏み切った。

図●ワイジェイFXから流出した顧客情報などの内訳
図●ワイジェイFXから流出した顧客情報などの内訳
(出所:ワイジェイFX)
[画像のクリックで拡大表示]

 レンタルサーバーにアップロードされた情報は延べ18万5626件で、内訳はの通り。ワイジェイFXの総口座数は28万5644件(2015年10月時点)で、半数以上が流出したことになる。このうち、検索エンジンの情報収集ロボット以外の第三者からの閲覧があった情報が741件だとしている。

 YJFXでは、2015年7月から、インターネットに接続できる従業員貸与PCと、インターネットに接続できないが顧客データにはアクセスできる貸与PCを区別する運用を始めたという。だが、それ以前から貸与PCに保存されていた顧客データについて、削除などの措置を徹底していなかった。この顧客データがレンタルサーバーにアップロードされたとみている。YJFXは「顧客データの扱いについてチェック漏れがあった。お客様に深くお詫び申し上げる」と説明した。

ワイジェイFXの説明資料