2020年2月27日

関係者各位

株式会社ホビーズファクトリー
代表取締役 渋谷篤人

個人情報漏洩に関するお詫びとご報告

 この度、弊社の運営しております『カードショップBIG-WEB』(以下、「本サイト」といいます。)を利用するユーザーの皆様の登録情報が漏洩している旨、外部情報機関から連絡を頂戴しました。これを受けて、事実調査を行いましたところ、ご登録ID・パスワード・メールアドレス(63,587件)の情報の漏洩を確認致しましたので、以下のとおり、ご報告申し上げます。 本サイトのユーザー含む関係者の皆様には大変なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。 弊社では、この度の事態を真摯に受け止め、事態の把握、原因の究明及び再発防止に全力を挙げてまいります。

1.本件の発覚の経緯及び情報漏洩の概要

 2020年2月14日、外部情報機関から本サイトの会員情報が漏洩している旨の通報を受け、当該情報機関の協力を得たうえで、弊社においても、事実関係の調査を行い、情報漏洩の事実を確認致しました。 外部情報機関から提供を受けた漏洩が疑われる情報と弊社データベース上の情報を突合したところ、上記のとおり、ご登録ID・パスワード・メールアドレス(63,587件)の情報であることを確認致しました。なお、上記の情報は、2012年4月以前の登録情報であることが確認できております。 現時点で原因の断定には至っておりませんが、外部情報機関による報告内容及び弊社における事実調査の状況を踏まえ、2017年9月以前に弊社が使用していたサーバーに不正アクセスされた可能性が高いものと考えております。

2.被害状況

 現時点におきましては、上記の情報の他に漏洩した情報は確認されておりません。また、漏洩情報についての拡散等の二次被害も確認されてないと外部情報機関からの報告を受けております。

3.現在及び今後の対応

(1)現在の対応

 現在、ユーザーの皆様に直ちに報告を行うとともに、情報漏洩の原因等を調査しております。また、関係各所へしかるべき報告を行う準備をする等対応にあたっております。さらに、弊社で現在使用しているサーバーのセキュリティチェック及びセキュリティの強化を行いました。なお、漏洩が疑われる本サイトのユーザーの皆様向けに本件に関する通知メールを送り、本件について謝罪申し上げるとともに、登録パスワードの変更を致しました。

(2)再発防止策

 弊社では、個人情報の管理は最重要の経営課題と認識しており、個人情報の取り扱いにあたっては、慎重な取り扱い・管理の徹底に努めてまいりました。しかし、この度、情報流出が発生したことを踏まえ、情報管理に精通している弁護士と協働し、再発防止に全力で取り組んでまいります。上記のほか、弊社としては、今後同様の情報漏洩が生じないよう、以下のように防止に努める予定です。

  • 不正アクセスへの技術的予防措置
  • 確実なセキュリティ対策を実現するためのサーバー環境の強化

4.情報漏洩緊急対策窓口の設置

 今回発生した情報漏洩の対処のため、弊社は情報漏洩緊急対策窓口を設置いたしました。今後の対応等は当該窓口にて行い、速やかに解決できるよう尽力いたします。 ユーザーの皆様におかれましては、ご質問等がございましたら、以下の連絡先にご連絡をいただけますと幸いです。

連絡先: 株式会社ホビーズファクトリー 情報漏洩緊急対策窓口
受付時間: 10時~17時(土、日、祝日除く)
メールアドレス: [email protected]

個人情報削除申請フォーム 漏洩対象確認申請フォーム パスワード変更

今般、厳重に管理すべきお客様の個人情報について、情報漏洩という事態を起こしてしまい、誠に申し訳ございません。改めて、皆様に多大なご迷惑とご心配をお掛けいたしましたことを、重ねてお詫び申し上げます。 今後、調査状況等を随時報告いたしますので、ご連絡をお待ちいただけますと幸いです。

個人情報流出についてのご質問とご回答

  • Q.
    自分や家族が今回の漏洩対象かどうかを知りたいです。
    A.
    Q&Aの上部にございます「漏洩対象確認申請フォーム」より必要事項を入力頂きお問合せをお願い致します。
  • Q.
    いつ、どのように判明したのでしょうか?
    A.
    2020年2月14日、外部機関からの通達を受け判明いたしました。
  • Q.
    情報流出の対象期間や件数を教えてください。
    A.
    2012年4月以前の登録情報が63,587件となっております。
  • Q.
    事実確認や調査はどのように行ったのか?
    A.
    外部情報機関から漏洩データを取り寄せ、登録情報と突合した結果、当サイトのデータベースと合致することを確認しました。
  • Q.
    個人情報の漏洩対象なのですが、悪用のおそれはないでしょうか。
    A.
    弊社では不審な勧誘を抑止するための取り組みとして、お客様からの声や独自調査等を行い、監視してまいります。 また、不審な勧誘などがございましたら、一切相手にされないよう、何卒ご注意をお願い申し上げます。不審な勧誘などがございましたら、弊社へご連絡いただくか、またはお近くの消費生活センターへご相談ください。
  • Q.
    漏洩した情報により生じている影響はどういったものですか
    A.
    現在のところ、漏洩した情報の拡散など二次被害はないと確認しております。不審な勧誘などがございましたら、弊社へご連絡いただくか、またはお近くの消費生活センターへご相談ください。
  • Q.
    クレジットカード情報は漏洩していたのですか。
    A.
    お客様のクレジットカードの情報をデータベースに保持しておりませんので、弊社サイトからのクレジットカード情報流出の可能性はございません。
  • Q.
    外部からハッキングなどの不正アクセスがあったのでしょうか。
    A.
    今回の件については外部より、2017年9月以前に使用していたサーバーに不正アクセスがされた可能性が高いと考えております。
  • Q.
    漏洩した個人情報の項目を教えてください。
    A.
    漏洩していた項目は2012年4月以前にご登録頂いた。通販用のユーザーID、パスワード(平文)、メールアドレスとなっております。不正ログインがあった場合は「姓(漢字・フリガナ)」「名(漢字・フリガナ)」「送り先住所」「電話番号」などの登録情報も漏洩している可能性がございます。
  • Q.
    情報セキュリティ強化の主な対策を教えてください。
    A.
    サーバーのセキュリティーチェックと強化を実施済みとなっております。
  • Q.
    登録されている個人情報を、今すぐ消去してほしい。
    A.
    Q&Aの上部にございます「個人情報削除依頼申請フォーム」より必要事項を入力いただきましたら、弊社にて消去させていただきます。
  • Q.
    公表が遅れた経緯について教えてください。
    A.
    情報流出懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございました。しかし、不確定な情報の公開はいたずらに混乱を招きかねず、正確な情報をお伝えするために、社内調査実施により本件の原因究明と被害範囲の特定を行うとともに、被害拡大防止を最優先に考え、調査結果を踏まえたセキュリティ対策を講じたうえで発表を行うことにいたしました。 今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
  • Q.
    身に覚えのない請求が届いていたのですが、今回の情報漏洩と関係ありますか?
    A.
    お客様のクレジットカードの情報をデータベースに保持しておりませんので、弊社サイトからのクレジットカード情報流出の可能性はございません。ご請求内容のご確認を行っていただき、お心当たりのない請求でしたら、ご加入のクレジットカード会社までご連絡くださいますよう、併せてお願い申し上げます。
    なお、クレジットカードのご利用状況などに関するお問い合わせにつきましては、個人情報の取り扱い上の制限があるため、恐れ入りますが、お客さまご自身からクレジットカード会社にお問い合わせいただきますようお願い申し上げます。
  • Q.
    使用していたパスワードを確認したいのですが可能ですか?
    A.
    申し訳ございませんが、セキュリティの観点からお伝えすることができません。パスワードがわからなくなった場合はパスワード変更フォームよりご申請をお願いします。
  • Q.
    大会受付用のアカウントのみ作成しているが、こちらも情報漏洩の対象ですか?
    A.
    大会用の情報は別システム、別管理となっておりますので、大会用のアカウント情報は漏洩しておりません。
  • Q.
    パスワード変更方法を教えてください。
    A.
    Q&Aの上部にございます「パスワード変更」より変更をお願い致します。
  • Q.
    2012年4月以前の情報が流出したということですがなぜこのような日付なのでしょうか?
    A.
    詳しい流出の経緯は調査中となりますが、流出したデータを分析した結果、2012年4月以前に登録されたものでした。考えられる可能性としては2012年4月頃に流出しており、あまり拡散されずに、2020年2月14日になって発覚したと思われます。
  • Q.
    今の登録情報は新しいサーバーということですがなぜ古いサーバーにデータが残っていたのでしょうか?
    A.
    現在、弊社が管理しているサーバーには該当のデータは残っていない為、それ以前に使用していた古いサーバーにデータが残っていた可能性を考慮して調査を進めております。
  • Q.
    アカウント情報はいつ外部に漏れたのでしょうか?
    A.
    考えられる可能性としては、2012年4月頃に流出していた可能性が高く、あまり拡散されていなかった為、2020年2月14日になって発見された可能性が高いです。