NECは4月8日、神戸市内の小売店が管理していたクレジットカード情報が、NECの社有車から盗難されたと発表した。NECはPOSレジの保守サービスをこの小売店に提供していた。
盗まれたのは、POSレジに内蔵するハードディスク。このハードディスクに売り上げデータの一部として、202件のクレジットカードの番号と有効期限のデータを保存していた。クレジットカード会社の数にすると、10社以上になるという。
盗難が起きたのは、4月2日午後8時から翌3日午前8時の間。保守担当者がPOSレジを定期点検した際にハードディスクを交換し、持ち帰る途中だった。
ところが持ち帰る途中に保守担当者が体調を崩し、保守用の社用車を自宅近くの公共駐車場に駐車して、そのまま帰宅した。この間に車上荒らしに遭い、車の窓ガラスが破られて、車に積んであったハードディスク、保守部品、工具箱などが盗まれた。
「NEC社内の規範では、顧客(小売店)からの預かり品を電車の棚や自動車内などに放置してはならないことになっている」(NEC広報)が、守られていなかった。なお、小売店のPOSレジはデータの移行が完了しており、現在は問題なく稼働しているという。
NECの見解では、「カード番号と有効期限だけでは個人を特定できず、顧客情報ではない」としている。さらに「データは暗号化していないが、POSレジのアプリケーションが読み書きする独自形式になっている。読み出すには専門知識が必要」と説明する。今回のPOSレジはOSにWindowsを採用した機種であるため、Windowsパソコンに接続すればファイルの存在は認識できる。しかし、意味のあるデータとしては読み出せないという。
3日に盗難が発覚し、NECは警察に被害届けを提出。小売店を通じて、各クレジットカード会社にも連絡した。公表が8日まで時間がかかった点については、「最初は盗難されたハードディスクのデータがどういうものかわからなかった。何件、どういうものが入っていたかを把握してから発表した」(NEC広報)という。
今後の対策としてNECは、「社内規範の順守を徹底し、定期的に監査も実施する」(広報)としている。
