「システムの開発委託先から約92万件の情報が漏れた可能性が高い」。コスモ石油は6月8日、4月に発覚した同社の個人情報漏洩事件に関する調査結果を発表した。発覚直後には、漏洩したと思われる個人情報の件数や内容は不明で、最大で全会員分の220万件が漏れた可能性があるとしていた。
漏洩した情報は、同社が発行する「コスモ・ザ・カード」の会員情報。同社は、外部企業による監査を実施し、会員情報が保存されていたサーバーをはじめ、可能性があるところ全般を調査した。この結果、システム開発のためにあらかじめ抽出された会員情報を格納したサーバーに、当該データがダウンロードされた痕跡を発見したという。このサーバーに登録されていた会員情報は92万3239件だった。このダウンロードの時期などを勘案した結果、開発委託先から漏れた可能性が高いと判断した。
漏洩した情報の内容は、「カードの種別」、「発券サービス・ステーション」、「カード番号」、「入会年月日」、「更新年月日」、「氏名」、「郵便番号」、「住所」、「電話番号」、「性別」、「生年月日」、「車検年月」、「自動車登録番号(車番)」の一部としている。情報が漏れた可能性が高い会員92万3239人に対しては、6月分の商品代請求書(7月発送)で、ガソリン・マイル50マイル分(500円相当)を付与する。
なお、同社は調査結果と同時に、再発防止策を明らかにした。個人情報取り扱いルールや委託先管理の徹底、入退室管理など設備面の強化、アクセス管理やログ監視体制の強化などを挙げている。
(河井 保博=日経コンピュータ)
