新生銀行・新生フィナンシャル、個人情報含むデータを誤提供
- 元記事:業務委託先等への提供データに一部のお客さま情報が含まれていたことに関するお詫び
- 元記事:業務委託先等への提供データに一部のお客さま情報が含まれていたことに関するお詫び(2)
- HP: 新生銀行
- HP:新生フィナンシャル
| 会社名 | 株式会社新生銀行 / 新生フィナンシャル株式会社 |
|---|---|
| 株式情報 | 上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | 不明 |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/生年月日/メールアドレス/口座情報/カード暗証番号 |
| 漏洩件数 | |
| 漏洩日時 | 2021/9/3 |
| 発表日時 | 2021/9/27 |
新生銀行及び新生フィナンシャルにて、個人情報含むデータを誤提供したことにより個人情報が流出。同社にて複数の業務委託先にWeb 解析や広告媒体事業に関するデータを提供した際に、会員向けメール配信停止ページで手続きした顧客のメールアドレスやWeb契約手続きページで入力した顧客の金融情報、会員ページにログインした顧客のカードローンのカード情報などのデータが含まれていたことにより個人情報が流出した。
新生銀行にて、Web 解析を目的に業務委託先の1社から還元を受けたデータを検証した際に、同行グループが提供したデータにIDとパスワードが含まれていたことから調査を行った結果、複数の業務委託先に提供したデータに顧客個人情報が含まれていることが発覚。事案発覚後、速やかにデータ提供を停止した。調査を行った結果、業務委託先からの顧客個人情報の外部への流出の形跡はなく、これに起因する不正利用などは確認されていない。両社は、業務委託先等に提供するデータの確認体制が不十分だったため提供すべきでないデータが含まれていたことを長期間認識できていなかったとして、今回の調査内容を踏まえ有効な再発防止策を講じて対応するとしている。
同社で調査を進めた結果、3件の新たな事案が確認。確認されたのは、レイク ALSA トップページにおいて、当該Web ページの URL に顧客メールアドレスが付帯し、業務委託先等の事業者に送信され、サーバに蓄積されていたケースや、エルのトップページの検索窓およびチャットボット機能を搭載したアレコレ相談室の入力欄に入力した個人情報が、当該 Webページの URL に付帯し、業務委託先等の事業者に送信され、サーバに蓄積していたケース、新生銀行スマートカードローンプラス会員向けメール配信停止ページにおいて、当該 Web ページの URL に、配信停止手続を実施した顧客メールアドレスが付帯し業務委託先等の事業者に送信され、サーバーに蓄積されていた。
同社が誤って提供した先は、業務委託先及び広告媒体会社の計 10 社であり、内8件についてはサーバからデータ削除を完了し、2社については、技術的問題によりサーバからのデータ削除できない状況であるが、堅牢な情報セキュリティ対策を講じていることを確認していおり、当該情報の二次流出は極めて低いと考えられる。本件の原因については、両社において、システムリスクやWeb ページ開発時の管理態勢が不十分であったこと、業務委託先等へ提供する際のデータ確認態勢が十分ではなかったことであるとし、再発防止として、Web 開発・管理態勢および委託先の確認態勢など管理態勢を強化するとしている。(2022年1月27日追記)
