お客様各位
2017年12月22日
株式会社センプレデザイン
代表取締役 田村昌紀

不正アクセスによるお客様情報流出懸念に関するお詫びとご報告

このたび、弊社が運営するウェブサイト「SEMPRE.JP [ https://www.sempre.jp/ ] (以下、当サイトという。)」におきまして、第三者による不正アクセスを受け、お客様の個人情報が不正に取得された可能性があることを確認いたしました。(以下、「本件」といいます)。
本件の詳細につきましては、下記のとおりご報告いたしますとともに、お客様ならびに関係者の皆様に、多大なるご不安とご迷惑をお掛けいたしますこと、ここに深くお詫び申し上げます。

1.事案概要

(1)

流出日
2017年10月29日~30日

(2)

原因・不正アクセスの手口
弊社が運営する当サイトのシステムの一部の脆弱性をついたことによる第三者の不正アクセスが原因とみられます。

(3)

流出の規模(疑いを含む)
個人情報の件数
22,796件(うち、クレジットカード情報を含む個人情報 13,438件)
※2002年9月~2017年10月30日までに当サイトで会員登録され、ご利用いただいたお客様が対象となります。

(4)

流出した情報
氏名(カード名義人名)、メールアドレス、ログインパスワード、
クレジットカード番号、有効期限
※クレジットカードのセキュリティコードは含まれておりません。

※以下のお客様は流出の対象ではございません。
  • モール店舗(楽天市場店・Yahoo!ショッピング店・AMAZON)で購入のすべてのお客様。
  • 弊社実店舗で購入のすべてのお客様。
  • 2017年11月1日以降にメンバー登録し、ご利用のお客様。
  • メンバー登録をされていない方。

2.発覚と対応の経緯

(1)

2017年11月14日、クレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念について連絡を受け、同日弊社が運営する当サイトでのクレジットカード決済を停止し、外部の専門調査会社である「Payment Card Forensics株式会社」(以下、「PCF社」といいます。)に連絡しました。

(2)

不正アクセスの全容解明および被害状況の把握に向け、社内調査を独自で進め、2017年11月18日に不正アクセスの形跡を発見し、会員情報へのアクセスを停止するとともに、脆弱部分の早期解明の為、ラック株式会社にアプリ診断(鳥瞰検査)とプラットフォーム診断(ツール診断)を実施し、2017年11月21日より「PCF社」の調査を実施しました。

(3)

2017年12月9日、PCF社より調査結果報告を受領しました。同社の報告を受け、個人情報等の流出の疑いが確定しました。

弊社において、情報流出の疑いが確認された時点で、まずは現状を公表することも検討いたしましたが、外部の調査機関による調査報告のない状態で公表することは、かえって多くの混乱をきたす旨の懸念に鑑み、クレジットカード会社に相談の上、今般のタイミングでのご報告となりましたこと、ご理解を賜れれば幸甚の限りでございます。

3.弊社の対応

情報流出の懸念を受けてから現在まで、お客様への被害が拡大しない様、下記の対策・対応を速やかに実施し、被害が拡大しない様に、各機関と連携し、実施をしております。
(1)

お客様への対応
① 情報流出対象のお客様に、電子メールにて、お詫びと注意喚起を直接ご案内させていただいております。
② お客様からのお問い合わせに対応できるよう、特設窓口を設置いたしました。

(2)

関係官庁への報告
個人情報保護委員会へ2017年11月29日に初回の報告をいたしました。
以後経過を報告致します。

(3)

警察への報告
所轄警察である警視庁目黒署へ2017年11月20日に報告および相談をしております。

(4)

不正アクセスの監視強化
本件発覚以降、各種監視を強化し、継続監視中です。なお、2017年11月1日以降不正アクセスは確認されておりません。

(5)

セキュリティ対策の強化
発覚以降、不正アクセスによる情報流出のないよう、次のセキュリティ対策を実行いたしました。
① 会員情報ならびにカード情報へのアクセスを禁止しました。
② 第三者のセキュリティ調査会社に依頼し、当サイト全体のセキュリティチェックを行いました。
③ 新たにネットワークの監視・遮断を行うWAF(Webアプリケーションファイアーウォール)を導入しました。

(6)

クレジットカードの不正利用モニタリングの実施要請
クレジットカード情報の悪用を防止するため、カード会社に不正利用モニタリングを依頼し、実施していただいております。

4.お客様へのお願い

(1)

クレジットカード利用明細書で身に覚えのないクレジットカードの利用履歴がないかご確認をお願いいたします。
流出した可能性があるクレジットカード情報につきましては、お客様にご迷惑がかからないよう、弊社より各クレジットカード会社へ、不正利用の監視強化を依頼しております。万が一、カード明細書に身に覚えのない請求がございました場合は、クレジットカード裏面に記載のカード発行会社へお問い合わせをいただきますよう、お願い申し上げます。

(2)

カード情報が流出した可能性のあるお客様のクレジットカードにつきまして、再発行をご希望の場合、クレジットカード裏面のカード発行会社にお客様から直接、お問い合わせいただきますようお願い申し上げます。(カード情報の確認には、個人情報の確認も必要となる為、ご不便とご面倒をお掛けいたしますが、お客様ご自身でご対応の程お願い申し上げます。)
なお、カード再発行の手数料につきましては、お客様のご負担にならないようカード会社へ依頼しております。

(3)

当サイトへのログインパスワードと同じパスワードを他社のサイトにてお使いのお客様は、大変恐れ入りますが他社サイト様へのログインパスワードの変更をお願い申し上げます。

(4)

本件に関するメールにはファイルを添付してお送りすることはございません。不審なメールについては、メール及び添付ファイルの開封を控えるなど、くれぐれもご注意くださいますよう、お願いいたします。

(5)

お客様にお心当たりのない不審な点等がございましたら、弊社までご連絡をお願いいたします。警察および関係官庁と連携し、誠実に対応を進めてまいります。

5.再発防止策(セキュリティ対策の強化)

弊社は、二度と同様の事案を起こすことのないよう、発覚以降に実施しておりますセキュリティ対策に加え、外部に開放されていないシステムを含め、各種対応を実施してまいります。
(1)

国際カード会社のセキュリティ基準であるPCI DSSに準拠する決済代行会社に決済業務を委託いたし、弊社にてカード情報を保有しない非通過型の決済システムを導入いたします。

(2)

個人情報を扱うデータベースを隔離し、また適切な暗号化を行います。

(3)

全体的な個人情報を扱うプロセスを見直し、個人情報管理に対する意識の徹底を行います。

弊社は本件の発生を受け、今後も継続してセキュリティの高いシステム構築を推進して参りますとともに、新技術も取りいれた多層化多重化による防御策を実行し、不正アクセス等の早期発見、早期対応に努めてまいります。
このたびは、お客様ならびにご関係者の皆さまに、多大なるご不安ご迷惑をお掛けしておりますことを重ねてお詫び申し上げます。
【本件に関するお問合せ先】
<お客様情報流出事案 お問合せ専用ダイヤル>
03-6407-9100
(平日 10:00~19:00)

※複数の回線を用意しておりますが、つながりにくい状況が想定されます。

FAQ

Q.情報流出懸念の対象かどうかのご確認方法について。

クレジットカード情報の流出の可能性のあるお客様には、メールでご案内させていただいております。また、情報流出の可能性のあるクレジットカードに関しては、カード会社各社と連携し、不正利用を検知できるようモニタリングの強化をしております。お手数をお掛けいたしますが、ご自身でもクレジットカードの利用明細に身に覚えのないお取引の記載がないかをご確認いただければ幸いです。

Q.不正使用されていないのかをご確認する方法。

お手数をお掛けいたしますが、クレジットカードのご利用明細をご確認ください。

Q.身に覚えのない利用がクレジットカード利用明細にある場合の、ご対応方法について。

そのような利用明細があった場合は、個人情報取り扱い上の制限があるため、恐れ入りますが、お客様ご自身からカード裏面に記載のお問い合わせ先へご連絡いただくようお願いいたします。クレジットカード会社にて不正利用と確認された場合、カード所有者様のご負担が発生することはございません。

Q.クレジットカードを再発行されたい場合。

クレジットカードの再発行をご希望される場合は、大変お手数をお掛けいたしますが、個人情報取り扱い上の制限があるため、お客様ご自身からクレジットカード裏面に記載のお問い合わせ先にご連絡ください。弊社よりクレジットカード会社各社へ連携し、情報流出の可能性のあるクレジットカードに関しては、再発行手数料がご利用者様に掛からない様に手配をしております。

Q.クレジットカード決済の再開予定日について。

クレジットカード決済につきましては、クレジットカード情報が弊社サーバーを通過しない「非通過型タイプ決済」へ移行を進めております。時期については、決定いたしましたらサイト上でお知らせいたします。

Q.会員ログインの再開予定日ついて。

会員ログインの再開につきましては、個人情報の暗号化ならびに新たなセキュリティシステムの導入を進めております。時期については、決定いたしましたらサイト上でお知らせいたします。

Q.保有しているポイントについて。

お客様が保有しているポイントにつきましては、現在失効時期を迎えましても失効させない処理を行っております。会員ログインの再開時より2年の期限を再設定させていただく予定でございます。

Q.楽天店・Yahoo!ショッピング店・amazon・実店舗でクレジットカードをご利用のお客様について。

楽天店・Yahoo!ショッピング店・amazon・実店舗は、本件とは関連はございません。

Q.今後のご利用につきまして。

流出の第一報がありました直後より各社と連携し、被害拡大が発生しないように対策を実施しております。
また、今後につきましても、お客様に安心してご利用いただけます様に具体的な施策を行ってまいります。再発防止策としまして、カートシステムの全面刷新、カード情報が弊社のサーバーを通過しない決済システムへの変更、情報セキュリティに関する専門会社と連携したセキュリティ管理体制の強化、組織体制の再整備などを迅速に行ってまいります。