資生堂子会社イプサ、個人情報42万件流出か、一部にはクレカ情報も

　資生堂の子会社で化粧品販売を手掛けるイプサは2日、同社の公式オンラインショップが外部から不正アクセスを受け、システム上の脆弱性により、決済した利用者のクレジットカード情報、ならびに登録者の個人情報が流出した可能性があると発表した。

　流出の経緯については、11月4日、決済代行会社からクレジットカード情報の流出懸念について連絡を受けたことから、イプサ公式オンラインショップでのクレジットカード決済を停止するとともに、社内関連部門による対策本部を立ち上げた。併せて同日、第三者調査機関へ調査を依頼し、11月7日には赤坂警察署、翌11月8日に経済産業省に報告を行ったとしている。

　対象となるサイトは、イプサ公式オンラインショップ　(http://www.ipsa.co.jp/ec/)。資生堂グループの他の通販サイトとは完全に分離したシステムで運営しているため、資生堂グループのサイトは対象でないとしている。

　クレジットカード情報に関しては、「カード会員名」「カード番号」「住所」「カード有効期限」が流出した可能性があり、2011年12月14日～2016年11月4日の期間に決済した最大56,121件の利用者が対象。クレジットカード以外の個人情報は、「氏名」「性別」「生年月日」「年齢」「職業」「電話番号」「メールアドレス」「住所」「ログインパスワード」「購入履歴」が流出した可能性があり、イプサ公式オンラインショップ登録の全員となる421,313名(2016年11月4日時点)が対象。

　イプサでは、2日に対象となる利用者に電子メールを送付。資生堂グループ企業情報サイトおよびイプサ公式サイト上にも同内容を掲載し、書面でも郵送を開始したほか、専用相談窓口も設置(0120-62-9020、9:00～20:00)。流出した可能性があるクレジットカード番号については、イプサよりクレジットカード会社各社に提供し、既に各社で不正利用取引の監視を行っているという。今回の流出に関連してクレジットカードが再発行となる場合、手数料はイプサが負担するとしている。

　今後は原因の解明と再発防止に向け社外の有識者を交えた調査を2017年1月末までをめどに行い、調査報告書を対象者に報告するとともに、ホームページなどでも開示する予定。