ファーストリテイリングは7月2日、管理する情報システムにおいて、個人情報の取扱いに不備があり、同社および個人情報の取扱いを委託していない一部の委託先事業者の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったことが、担当部署の調査により判明したと発表した。
個人情報の取り扱い不備発覚の経緯
2024年1月、顧客に提供するサービスの稼働状況を監視するための情報システムにおいて、本来の用途を超えた範囲の個人情報が閲覧可能な状態になっていることを、担当部署の従業員が確認し、直ちに本情報システムへのアクセスを遮断したという。
その後、調査を行った結果、同社グループのオンラインストアを含む複数のサービスにおいて、2023年6月から2024年1月までの間、一部の顧客の個人情報が同システムに保存される設定となっていたことが判明した。
本来、同システムは個人情報を保存するための仕組みではないが、結果として、同社が個人情報の取り扱いを委託していない一部の委託先事業者についても、同システムに保存された個人情報の閲覧が可能な状態となっていたという。
同システムは、事前に許可された同社および委託先事業者の担当従業員のみがアクセスできるもので、それ以外の第三者によるアクセスはできないよう制限されている。この制限が有効に機能していることの確認とともに、同システムへのアクセスが可能な者による個人情報の持ち出しや第三者によるアクセスがないことを確認したとのこと。
今回の件は、上記の期間中、サービスをご利用したすべての顧客において発生したものではなく、特定の条件下においてのみ発生したことが確認されており、現在も対象となった顧客を特定するための調査が続けられている。
閲覧することが可能な状態にあった個人情報
2023年6月から2024年1月までの間、同社グループのオンラインストアまたは店舗を利用したた顧客の個人情報のうち、閲覧することが可能な状態にあった個人情報は以下の通り。クレジットカード情報、オンラインストアのパスワードは含まれていない。
- オンラインストアを利用した顧客の氏名、住所、電話番号、Eメールアドレスを含む、オンラインストア会員登録情報
- 店舗に来店した際、他店舗から商品の取り寄せを希望した顧客の氏名、電話番号、メールアドレス
- 同社グループの運営する着こなし発見アプリ「スタイルヒント」を利用した顧客のメールアドレス
今回の件の対象であることが確認された顧客には、電子メールまたは登手紙で順次個別に連絡するという。