2021年4月21日

お客様各位

株式会社 ゆとりの空間

弊社が運営する「ゆとりの空間オンラインショップ」への
不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（続報）

　2021年3月31日にお知らせしました【弊社が運営する「ゆとりの空間オンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ】(以下、「初報」といいます)について、お客様をはじめ、関係者の皆さまに多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

　システムの一部の脆弱性を突いた第三者による不正アクセスの影響について、継続して調査を進めておりましたが、第三者機関によるフォレンジック調査の結果、お客様のクレジットカード情報（4,509件）が漏えいした可能性があることを確認いたしました。

　クレジットカード情報が漏えいした可能性のあるお客さまには、本日より電子メールにてお詫びとお知らせを個別にご連絡申し上げております。弊社では、このたびの事態を厳粛に受け止め、お客様には誠心誠意、適切な対応をさせていただくとともに、再発防止の対策を徹底して参ります。

　本件に関する事案概要と弊社の対応等につきまして、下記のとおりご報告いたします。

記

１．発覚と対応の経緯

　2021年1月27日、当サイトをご利用されたお客様から、クレジットカード払いのページ遷移についてお問い合わせがありました。弊社にて確認したところ、サイト改ざんの可能性が疑われたため、同日当サイトのカード決済を停止いたしました。また、本件の全容解明、および被害状況の把握に向け、社内調査を進めるとともに、第三者機関による調査も開始いたしました。

　2021年3月29日に第三者機関の調査報告があり、当サイトで2020年12月8日～2021年1月26日の期間中に購入されたお客様のクレジットカード情報が漏えいした可能性があることを、4月に入って確認いたしました。
　以上の事実が確認出来たため、クレジットカード決済代行会社と協議のうえ、本日の発表に至りました。

２．事案概要

（１）漏えいした可能性があるクレジットカード情報
2020年12月8日～2021年1月26日の期間中に、当サイトでクレジットカード情報の登録または決済が行われた4,509件の以下の情報
・カード番号
・有効期限
・カード名義
・セキュリティコード

（２）漏えいの原因
　弊社が運営するウェブサイト「ゆとりの空間オンラインショップ（https://www.yutori.co.jp/）」（以下、「当サイト」といいます）のシステムの脆弱性を突いた第三者の不正アクセスによって、決済画面の改ざんが行われ、お客様のクレジットカード情報が第三者に送信された可能性があることが判明いたしました。
　本来、当サイトでは、システム内にお客様のクレジットカード情報を保持しない仕組みを採用しておりましたが、上記改ざんにより作成されたクレジットカード情報入力フォームに入力情報が第三者に送信される不正プログラムが設置されていたことによるものです。

３．お客様へのお願い

　2020年12月8日～2021年1月26日の期間中に当サイトにてクレジットカード情報の登録または決済をして頂いたお客様は、身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。
　漏えいした可能性があるクレジットカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各クレジットカード会社に不正利用の監視強化を依頼しております。 万が一、カード明細書に身に覚えのない請求がございました場合は、大変お手数をおかけしますが、クレジットカード裏面に記載のカード発行会社にお問い合わせいただきますようお願い申し上げます。
　また、クレジットカードの再発行をご希望の場合、クレジットカード裏面のカード発行会社にお客様から直接、お問い合わせいただきますようお願い申し上げます。
　漏えいした可能性があるクレジットカードの再発行手数料につきましては、お客様のご負担にならないようカード会社に依頼しておりますが、それ以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。
　お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。
※クレジットカード会社にお問い合わせいただく際には、「ゆとりの空間オンラインショップの件」とお伝えください。

４．公表が遅れた経緯について

　2021年1月27日のお客様からのお問い合わせから今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
　本来であれば改ざんの可能性が疑われた時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、カード会社の要請により決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は第三者調査機関の調査結果、およびカード会社や行政との連携を待ってから行うことといたしました。
　なお、調査の過程において、当サイトの新規会員登録ページの改ざんによる個人情報漏えいの可能性を確認したことにより、今回の発表に先立ちお知らせいたしました。
　本件の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

５．弊社の対応

（１）お客様への対応
　2021年3月31日より、新規会員登録時の個人情報漏えいの可能性があるお客様に対して、メールにてお詫びと注意喚起のご案内をさせていただいております。
　また同日より、お客様からのお問い合わせに対応できるよう、専用コールセンターを設置いたしました。
　2021年4月21日より、クレジットカード情報漏えいの可能性があるお客様に対して、メールにてお詫びと注意喚起のご案内をさせていただいております。

（２）行政機関への報告
　2021年4月7日、個人情報保護委員会に報告いたしました。

（３）警察への報告
　2021年4月7日、所轄の警察署である東京都警察 目黒区碑文谷警察署に報告いたしました。

６．ご案内に関する注意事項

　今後、お客様にご連絡をいたしますメール、および書面において、弊社からのご案内を装った第三者からのなりすましメールや書類が送られる可能性がございます。このため、以下の点にご注意くださいますよう宜しくお願い申し上げます。

（１）個人情報漏えいの可能性があるお客様に対しまして、本件の確認を理由に、個人情報（カード番号、カード名義、カード有効期限、氏名、住所、生年月日、勤務先、電話番号（緊急連絡先を含みます）、ＦＡＸ番号、メールアドレス、暗号化された状態のログインパスワード、本人確認の質問・回答、購入履歴）等をお伺いすることはございません。

（２）お心当たりのないご不審な点等がございましたら、弊社専用コールセンターまでご連絡ください。警察や関係官庁と連携し、誠実に対応を進めて参ります。

７．再発防止策

　今後二度と同様の事案を起こすことのないよう、以下の取組みを行い、当サイトのセキュリティ強化に努めて参ります。なお、情報漏えいの原因となった不正プログラムについては削除・修正が完了しております。

（１）決済方式の変更を含め、セキュリティレベルの高いサイトへの再構築を進めて参ります。

（２）システムの脆弱性診断を定期的に実施し、セキュリティ対策を強化して参ります。

（３）脆弱性対策として必要なプログラムの修正や適切な対処を実施、監視体制を強化してサイトの運用を行って参ります。

（４）上記（１）～（３）が適切に行われることの継続的な確認を含む、全社のセキュリティ管理体制を強化し、改善に努めます。

　最後にクレジットカード決済再開の時期についてですが、所定の安全性を充たすのかを徹底確認し、クレジットカード会社と合意のうえで決定いたしますので、改めましてご案内をいたします。

　このたびは、お客様およびご関係者の皆さまに、多大なるご不安ご迷惑をお掛けしておりますことを重ねてお詫び申し上げます。

以上