子どもたちが職業体験を楽しめるテーマパーク「キッザニア」を運営するKCJ GROUPはこのほど、10月22日に発表した「キッザニア Webサイト」への不正アクセスによる個人情報流出についての調査結果を発表した。2024年10月17日以前に「キッザニア東京」予約時に登録された一部の個人情報2万4644件が流出したとし、対象者への連絡を開始するとともに、謝罪の意を表明した。なお、予約時に利用したクレジットカード情報や、予約者以外の個人情報の流出はない。
KCJ GROUPは2024年10月16日、自社が運営するWeb サイトへの不正アクセスを検知し、防御措置を実施した。翌10月17日に個人情報流出の恐れてあることが判明し、情報流出の遮断措置を実施。第1報として、10月22日にプレスリリースを発表している。
その後、外部専門機関の協力を得て不正アクセスによる影響範囲を調査し、流出した対象者の確定を完了ししたことから、このほど結果を発表するとともに、改めて謝罪の意を表明した。
今回の不正アクセスで個人情報漏洩の可能性があるのは、2024年10月17日以前に「キッザニア東京」の予約時に登録された一部の顧客の個人情報(氏名、メールアドレス。電話番号、住所)2万4644件。予約時に利用されたクレジットカード情報や、同伴の子どもを含めた予約者以外の個人情報の流出はない。また、「キッザニア甲子園」「キッザニア福岡」への来場予約時に登録された情報の流出もなく、個人情報の公開や不正使用などの2次被害の発生は現在まで確認されていない。
KCJ GROUPが運営する「キッザニア」のWebサイトのプログラムの1部にセキュリティの脆弱性があり、外部より不正アクセスを受けたことが原因となっており、当該箇所は既に修正し、セキュリティ対策は完了したとしている。
今回の事案の対象となる顧客には、「キッザニア東京」の予約サイトに登録したメールアドレス、または電話番号宛に、順次個別に連絡を行う。今回の不正アクセスについて、個人情報保護委員会への報告と所轄警察署への届け出も完了している。
KCJ GROUPは、今回の事態を重く受け止め、システム全体に改めて外部専門機関による脆弱性調査を行い、必要な対策を実施した、今後もさらに強固なセキュリティの構築を目指す考えを示した。
