ファーストリテイリングは2024年7月2日、同社の情報システムにおいて、個人情報の取り扱いに不備があったと、公式サイトで謝罪した。同社および個人情報の取り扱いを委託していない一部の委託先の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったという。
個人情報の持ち出しや第三者のアクセスはない
ファーストリテイリングによれば、24年1月に問題が発覚。同社担当部署の従業員が確認し、情報システムへのアクセスを迅速に遮断。個人情報保護委員会に報告し、情報システムに個人情報が含まれていることを検知・隔離する仕組みと運用を整備したという。
23年6月~24年1月まで、同社グループの複数のサービスで、一部の顧客の個人情報が情報システムに保存される設定になっていた。本来、個人情報を保存するための仕組みではないが、個人情報の取り扱いを委託していない一部の委託先についても、情報システムに保存された個人情報の閲覧が可能な状態だったと説明している。
情報システムは、許可された同社および委託先事業者の担当従業員のみがアクセスでき、それ以外の第三者のアクセスは制限されている。この制限が有効に機能していること、情報システムにアクセスできる者による個人情報の持ち出しや第三者によるアクセスがないことを確認したと、ファーストリテイリングは述べた。
問題が起こった原因は、「情報システムの開発段階における仕様の確認、およびその運用段階におけるモニタリングが不十分であった」と説明。
今後の方針について、業務上不要な個人情報の取り扱いが発生しないことを確認するための手続を改めて整備し、問題発生時に迅速な検知と是正をすることを含めた運用を徹底する、と示している。
クレカ情報、オンラインストアのパスワードは含まれず
閲覧可能だった情報は、同社グループのオンラインストアまたは店舗などの利用客の個人情報のうち、以下のものだった。なお、クレジットカード情報、オンラインストアのパスワードは含まれていない。
(1)氏名、住所、電話番号、Eメールアドレスを含む、オンラインストア会員登録情報 (2)同社グループの店舗を利用し、他店舗から商品の取り寄せを希望した顧客の氏名、電話番号、Eメールアドレス (3)同社グループ運営のアプリ「スタイルヒント」を利用した客のEメールアドレス
同事案の対象者には、同社グループのサービスに登録したメールアドレス宛てに電子メール、または登録した住所宛てに手紙にて、順次個別に連絡する方針だ。
24年1月に発覚した問題の公表に時間がかかったことについても、ファーストリテイリングは謝罪。その理由をこう説明している。
「不確定な情報や誤った調査結果に基づいた公表をすることは、皆様の混乱を招き、更なるご心配をおかけするおそれがあると判断し、慎重に調査を進めてまいりました。なお、現在も調査を継続しておりますが、調査の完了に向けて一定の目処がついたため、今回の公表に至りました」
