ジェイアイエヌは9日、同社が運営する「JINS ONLINE SHOP」のウェブサーバに対して、外部からの不正アクセスがあり、クレジットカード情報が流出した可能性があるとしていた件に関し、その後の調査で判明した最新情報などについて、「不正アクセス(JINS オンラインショップ)に関する調査報告(中間報告)」を発表した。
同社では、今回の不正アクセスに関し、クレジット情報漏洩事案の専門調査機関である「Payment Card Forensics(以下、PCF社)」へ調査を委託していたが、4月8日付でPCF社から最終調査報告書を受領した。
JINS オンラインショップは、サーバ内に顧客のクレジットカード情報を保有しないシステムで運用していた。PCF社の最終調査報告書によると、PCF社によるジェイアイエヌのサーバのログ解析により、3月6日にバックドアプログラムが設置された痕跡、および第三者のサーバにクレジットカード情報が転送されるようにアプリケーションプログラムの改ざんが行われた痕跡が確認されたという。
その結果、今回の不正アクセスによるクレジットカード情報が流出した可能性がある顧客の範囲が、2013年3月6日から2013年3月14日までの期間に、JINS オンラインショップにおいて購入手続きをした顧客2,059人であったことが判明した。
当初のジェイアイエヌの発表では、2013年2月6日から3月14日までの期間に同社オンラインショップで購入手続きをした顧客1万2,036人を、情報流出の可能性のある最大範囲として報告していた。
だが、PCF社の最終調査報告書により、JINS オンラインショップの「支払方法選択画面」に入力されたクレジットカード情報が、3月6日より前に流出した事実はないと判断したとしている。
ジェイアイエヌではすでに、当初クレジットカード情報の流出の可能性がある旨報告した1万2,036人の顧客に対して、1,000円分のQUOカードを送付する旨を連絡し、順次送付手続きを開始している。
また、各クレジット会社に対し、上記対象の顧客がクレジットカードの再発行をした場合の再発行手数料を、ジェイアイエヌにおいて負担する旨の連絡を行っている。
オンラインショップの再開時期については、現在、オンラインショップの早期再開に向けて、システムの見直し、セキュリティの増強を行うとともに、一層のセキュリティに対する外部的信用を担保するため、PCF社の協力のもとクレジットカード情報保護の国際的セキュリティ基準である「PCI DSS」の認証を取得すべく準備を進めているという。現時点でのオンラインショップの再開時期は、2013年6月中を予定している。
業績への影響については、今回、クレジットカード情報の流出可能性の範囲が確定されたことを受け、現時点における本件不正アクセスによる損害を見積もりしたところ、ジェイアイエヌ業績への影響は軽微である見込みとしている。なお、今後同社業績に大きな影響が生じる事態が発生した場合は、速やかに開示するという。