同人作家の利用も多い印刷所「グラフィック」、否定していたクレジットカード情報も流出～ユーザーには詫び状とQUOカード500円を発送

　同人作家の利用も多い印刷所、株式会社グラフィックは7月19日(火)に、不正アクセスによる個人情報流出の流出を発表し、金銭に関わる情報は流出していないと説明していましたが、9月6日になって、クレジットカード番号、セキュリティコード、有効期限も流出していことを明らかにしました。

　同社では、7月の発表当初「弊社はクレジットカード情報をお客様からお預かりしていないため、クレジットカード情報の流出はございません」としていましたが、原因ならびに被害状況などを外部の専門調査会社で調査を実施したところ、「顧客DBSにお客様のクレジットカード情報が保管され、かつ当該不正アクセスによってその一部が流出していたことが判明した」としています。

　流出したのは395件ですが、どの顧客の情報かの特定が不可能な為、2010年7月21日～2016年7月23日までにクレジットカード決済サービスを利用した全ての顧客の情報、192,594件が流出の可能性のある情報と判断したとのこと。

　情報流出の原因は、国籍サーバからの不正アクセス。2016年8月2日に、調査会社より中間報告第2報として、顧客DBSの決済ログにカード情報が内包されていることが新たに判明し、不正アクセスによって一部のカード情報が流出していることが判明したとしています。

　これを受けて、同社では直ちに顧客DBSからカード情報をすべて削除し、原因となるプログラムを修正。2016年8月8日に、調査会社と流出したカード情報に関し、顧客の特定が不可能であるとの見解を共有し、クレジットカード会社および警察や経済産業省に報告を行ない、2016年8月9日、クレジットカードでの決済サービスを停止したとのこと。

　同社がWeb上でクレジットカード決済サービスを開始したのは2007年で、当時は入力されたカード情報は同社のサーバーを通らず、記録しないシステムだったが、その後、カード決済の利便性向上の観点から、システムに改良を重ねて、2010年7月21日より、顧客DBSの決済ログの中に、入力されたアクションの一部としてカード情報の文字列が記録される状態となっており、今回、調査会社の調査結果を受領するまで認識がなかったとしています。

　流出したカード情報の特定を調査したものの不可能であったため、2010年7月21日から2016年7月23日にカードを利用した全ての顧客に対し、お詫びと経緯の説明、二次被害の注意喚起等を順次メールにて個別にご案内し順次、個別にお詫び状とお詫びの品としてQUOカード(500円)の発送を予定しているとのこと

　また、クレジットカード会社に、調査会社の調査結果を報告し、不正利用の防止のため漏えいの可能性があるすべてのカード情報のモニタリング強化を依頼したとしています。

　ユーザーには対しては、身に覚えのないクレジットカードの利用履歴がないか「利用明細の確認」、2016年7月19日以降にパスワードを変更していない場合は「Webサイト　ログインパスワード変更」を呼びかけています。なお、漏えい対象のクレジットカード再発行に伴う手数料については、同社が負担することをクレジットカード会社に依頼しているそうです。

　同社では、今後の対応について、「二次被害防止を最優先事項と捉え、誠実な対応を取らせていただきます。万一、二次被害等が発生した場合におきましては、関係官庁ならびに警察機関との連携を取りながら対応を進めて参ります」としています。