江崎グリコは2016年3月7日、同社の通販サイト「グリコネットショップ」からクレジットカード情報を含む最大約8万3000件の顧客情報が流出したと公表した。サイトが使う外部サービスに脆弱性があり、不正アクセスを受けて流出した。

 グリコネットショップは1996年3月にオープン。流出した可能性があるのは現システムが稼働した2012年10月12日から2016年2月3日までの利用客。顧客情報の内容は、氏名や住所、電話番号、メールアドレス、クレジットカード情報(番号、有効期限、カード名義)、商品の届け先情報、家族情報。流出した可能性はあるのは最大で8万3194件で、うち4万3744件はカード情報を含む。ただし「カードのセキュリティコードは流出していない」(江崎グリコ広報)。

 江崎グリコは2016年1月29日、クレジットカード会社からの連絡で事態を把握。同社にはCSIRT(セキュリティ事故対応チーム)は無いが、危機管理委員会が今回の対応に当たった。同委員会が情報漏洩で動いたのは初めてという。同日中にグリコネットショップでのカード決済を停止するとともに、カード会社と協議して、カード情報漏洩のフォレンジック(コンピュータ鑑識)を手掛けるPayment Card Forensicsに調査を依頼した。Payment Card Forensicsから2月29日に最終調査報告書を受領。江崎グリコは大阪府警西淀川署と農林水産省に報告しているという。

 被害状況は「何件かあったが件数はセキュリティ上、回答できない」(広報)とした。「クレジットカード会社が把握するカードの不正利用に遭った人と、グリコネットショップの利用者に重なる人が何人かいる」(同)。江崎グリコはクレジットカード会社に流出した可能性のあるカード番号を渡し、不正取引を防止するモニタリングを依頼しているという。利用客のカード再発行手数料は江崎グリコが負担するようカード会社に申し入れている。

 不正アクセスの詳細を同社は「セキュリティ上、回答できない」(同)としたが、「グリコネットショップが使う外部サービスに脆弱性があった」(同)。サイトの運用は江崎グリコが担当している。フォレンジックの結果、「技術的にいつから不正アクセスを受けていたかを確認することが難しかった」(同)ため、現システムの稼働期間の利用客全てに流出の可能性があると公表した。

 グリコネットショップはシステムの安全を再確認して開会する予定という。再開時期は未定で「現状はご迷惑をおかけしたお客様への対応を最優先に進める」(同)。江崎グリコは「お客様をはじめとする関係各位の皆様に、多大なるご迷惑およびご心配をおかけする事態に至りましたこと、ここに深くお詫び申し上げます」と陳謝。「今後は一層のセキュリティ強化および監視体制の強化を図り、グループを挙げて信頼の回復に努めて参ります」とした。