タリーズコーヒージャパン株式会社は10月3日、通信販売サイト「タリーズオンラインストア」を利用したユーザーの個人情報およびクレジットカード情報が漏洩した可能性があると発表しました。
流出した個人情報は9万件超。内クレジットカード情報も5万件超にのぼり、その中にはセキュリティコードも含まれるとのこと。自社HPで謝罪を行いました。
発表によると、不正アクセスによる情報漏洩の可能性について警視庁より指摘があったのが2024年5月20日。ただちにECサイトでの決済を停止し、オンラインストアの一時閉鎖など対応を行うとともに、5月30日に「不正アクセスによるシステム侵害発生のお詫びとお知らせ」として公表していました。
その後、第三者調査機関による調査が行われた結果、これまでに「タリーズ オンラインストア」に会員登録があったユーザーの個人情報及び、2021年7月20日から2024年5月20日の期間に「タリーズ オンラインストア」で使用されたクレジットカード情報が、漏洩懸念対象と結論付けられたとのことです。
■ 漏洩した可能性がある個人情報は9万2685名分、クレジットカード情報5万2958名分
漏洩した可能性がある個人情報は9万2685名分の「氏名」「住所」「電話番号」「性別」「生年月日」「メールアドレス」「ログインID」「ログインパスワード」「配送先情報」で、2020年10月1日から2024年5月23日の期間中に「タリーズ オンラインストア」にて会員登録を行ったユーザーが対象。
このうち漏洩の可能性があるクレジットカード情報は5万2958名分の「クレジットカード番号」「カード名義人名」「有効期限」「セキュリティコード」で、2021年7月20日から2024年5月20日の期間中に「タリーズ オンラインストア」においてクレジットカード決済を行ったユーザーが対象です。
上記に該当するユーザーにはすでに電子メールまたは郵送にて、個別連絡を行っていると発表しました。
■ 漏洩の原因はシステムの一部の脆弱性をついたことによる第三者の不正アクセス
漏洩の原因については、「タリーズ オンラインストアのシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため」と説明。タリーズ公式楽天市場店やタリーズ公式アプリ、デジタルギフト、クラブタリーズは情報漏洩の対象ではない、としています。
タリーズ側では既にクレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めているとのこと。
そのうえで「お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします」「万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます」と呼び掛けました。
■ カード再発行の手数料はタリーズ側が負担 オンラインストアは現在も休止中
なお、クレジットカード情報漏洩の可能性があるユーザーがクレジットカードの差し替えを希望する場合、カード再発行の手数料についてユーザーの負担とならないよう、タリーズ側からクレジットカード会社に依頼しているとのことでした。
2024年10月4日現在も、タリーズオンラインストアは休止中となっています。今回の調査結果を踏まえ、システムのセキュリティ対策及び監視体制の強化を行い、再発防止を図るとともに、改修後の「タリーズ オンラインストア」の再開日については、決定次第改めてWebサイト上で発表が行われるそうです。
<参考・引用>
タリーズ公式HP「【重要】弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告」
(山口弘剛)
