2017年12月20日「不正アクセスによるクレジットカード情報流出に関するお詫びとご報告」でご報告いたしました弊社の公式ショッピングサイト「トキワオンラインショップ」のシステム構築とソフトウェア保守を委託している株式会社ＫＢＫプラス（以下、ＫＢＫ＋といいます）の提供するシステムが、外部からの不正アクセスを受け、一部のクレジットカード情報が流出いたしましたこと（以下、「本件」といいます）により、お客様をはじめとする皆様に多大なるご迷惑をおかけいたしましたこと心よりお詫び申し上げます。

　弊社では、情報流出の可能性が判明した直後に公式ショッピングサイト「トキワオンラインショップ」を停止したうえで、クレジットカード会社指定の調査会社へ調査を依頼しました。さらに、兵庫県警察本部に報告・相談し、原因究明及び被害への対応、再発防止策の検討を進めてまいりました。

　本件の最終的な認定事実の概要と弊社の対応、再発防止対策につきまして、下記の通りご報告いたします。

1. 事案の概要

（1）流出したお客様情報

2017年12月20日にご報告させて頂きました通り、情報流出の可能性が判明した後、弊社は直ちに外部調査会社「Payment Card Forensics株式会社」（以下、「ＰＣＦ社」といいます）に調査を依頼し、2017年11月27日に同社から以下の調査結果の報告を受けました。

• ① 対象

  2016年10月23日～2017年11月1日の間に公式ショッピングサイト「トキワオンラインショップ」においてクレジットカード決済が行われたお客様情報

• ② 項目

  カード会員名、カード番号、カード有効期限、セキュリティコード
  （パスワードは含まれておりません。）

• ③ 対象カード件数

  全カード情報登録 6,679件

• ④ 原因

  公式ショッピングサイト「トキワオンラインショップ」（以下、「トキワオンラインショップ」といいます）のECサーバーにインストールしたカード情報を暗号化するOpen SSL(Open SSL/1.0.1e)の脆弱性を利用した、外部からの不正アクセスによるものでした。

（2）本件の原因

弊社によるＫＢＫ＋への聞き取りにより、以下の事実が本件の原因であることが判明しました。

①	オンラインショップのECサーバー構築において、Open SSLを最新バージョンと誤信しインストールを実施、インストール後のバージョンの確認を実施してなかった。
②	ECシステムは、クレジットカード決済番号のみを記録し、カード情報（カード会員名、カード番号、カード有効期限、セキュリティコード）を保持しないため安全であると認識し、運用開始後も対応する手順を定めた規範とチェック体制がなく、セキュリティ情報を逐次更新するルールや体制も存在しなかった。

こうした事実関係から、本件の原因はＫＢＫ＋の過失によるものであるとともに、運用主体である弊社とシステム提供者であるＫＢＫ＋がそうした過失を協力して未然に防止し、点検・監督し、継続的にセキュリティ情報を確認し安全性を高めるという体制が不十分であったことが、より本質的な原因であると考えています。

2. 流出への対応の経緯

（1） 2017年11月1日、クレジットカード決済代行会社（以下、「決済代行会社」といいます）より、クレジットカード情報流出の可能性があるとの指摘を受け、同日、トキワオンラインショップを停止いたしました。また、不正アクセスの全容解明および被害状況の把握に向け、ＰＣＦ社へ依頼し調査を実施しました。

（2） 2017年11月27日、ＰＣＦ社から最終調査結果報告書を受領しました。同社の報告により、不正アクセスによりクレジットカード情報が流出したことが判明しました。

（3） (2)の報告を受けて、弊社では直ちに以下の通り対応を行ないました。

①	トキワオンラインショップの停止継続
②	不正アクセスの監視強化
③	クレジットカード会社に対する不正利用モニタリングの実施依頼
④	関係官庁（個人情報保護委員会）への報告
⑤	警察への報告及び相談

3. 再発防止に向けた対策

　弊社は、本件判明直後から、事業の再開復帰に向けた対応を行なうとともに、再発防止対策を立案し実施してまいりました。再発防止対策は（1）ＥＣシステムの変更およびセキュリティ管理体制の徹底強化（2）弊社自身のセキュリティ対策の強化からなります。

　まず、本件の直接的原因が、システムのクレジットカード決済接続方式にあり、クレジットカード情報がECサーバーを経由して決済代行会社へ伝送する方式から、ECサーバーを経由せず直接決済代行会社に接続する方式へと変更いたしました。

　それとともに、ＫＢＫ＋のセキュリティ管理体制の点においてもその一因があったことから、その監督とセキュリティ対応の徹底を図るものとしました。

　次に、本件を踏まえて、弊社全体の管理体制を見直し、自社内の情報セキュリティを強化するとともに、外部委託先の管理・監督強化のため情報セキュリティ委員会を設置いたしました。

（1）システム変更及び監督・管理に向けた取り組み

• ① 決済接続方式の変更

  クレジットカード情報を直接決済代行会社のサイトで入力する方式に変更したことによりトキワオンラインショップでのクレジットカード利用の際には、クレジットカード決済情報が利用者から直接決済代行会社に接続されるようになりました。弊社としては、トキワオンラインショップからのクレジットカード情報が流出する可能性は消失したと考えておりますが、今後も同システムが安全に運用されていることを継続して確認してまいります。

• ② 管理・監督の取り組み

  トキワオンラインショップシステムが2018年2月3日の時点でPCI DSS準拠のAVDS診断に合格したことを確認いたしました。弊社は引続き四半期に一度、AVDS診断にてトキワオンラインショップECサーバーの脆弱性調査を実施するとともに、毎月セキュリティ報告書の提出を求め、システムの点検と監督を実施します。

（2）弊社のセキュリティ体制の強化

セキュリティ体制を一新し、経営陣直轄の組織として情報セキュリティ委員会を設置及び内部監査責任者を任命し、情報セキュリティ対策を全社総合的に調整、推進する体制を確立させ再発防止に取組んでまいります。

4. 弊社は再発防止策の実施と並行し、トキワオンラインショップの営業再開に向けた作業に着手してまいりました。すでにシステムの改修が完了し、PCI DSS準拠の監査、クレジットカード会社の審査等も終了しており、本最終報告を経て、2018年3月30日からクレジットカード決済を再開いたします。