【情報漏洩事案】お客様情報の誤表示に関するお詫びとご案内/2025年6月2日
ページコンテンツ
概要
2025年5月30日午前2時に実施したシステム改修の不具合により、特定の条件下で、お客様に他のお客様情報が表示される情報漏洩事案が発生しました。(外部からの攻撃や不正アクセスによるものではありません)
具体的には、ちいプラ標準パッケージを導入してくださっている各地域様の予約サイトで、新規会員登録完了時に、他予約サイト(下図の地域A)の同一顧客IDを持つお客様情報が閲覧可能になるというものでした。
不具合がある時期(日本時間の2025年5月30日午前2時~2025年6月2日午後1時)に新規会員登録されたお客様と他予約サイト(下図の地域A)の既存のお客様のそれぞれ109名様に影響がありました。関連するお客様には、2025年6月2日22時前後にご案内させて頂きました。
※本事象とシステムの不具合は、すでに解消されています。
※専用サーバーを利用している「日本秘湯を守る会」様を除く全て地域予約サイトが対象となります
誤って閲覧可能となった情報/漏洩情報
- メールアドレス
- お名前
- 住所
- 電話番号
- 誕生日
- 利用履歴
- クレジットカード情報の一部 ※悪用できる情報ではございません
- カード番号の下4桁
- カードブランド
- 有効期限
※お客様の登録状況・利用状況により異なります。
※パスワードの漏洩はありません(マイページでは表示できません。データベースには不可逆暗号化して保持しておりシステム管理者であっても把握できません)
※クレジットカード情報が登録されていた場合、以下のように表示されます。カード番号全体、CVCはサーバーには保持しておりませんので漏洩は100%ございません。
対応状況
- 発生日時:2025年5月30日午前2時頃
- 解決日時:2025年6月2日13時頃
- 現在は解決済み
- 影響のあったお客様
- 当該期間中に会員登録を完了したお客様:109名
- ある地域サイトで上記の会員と同じIDを持つお客様:109名
| 日時 | 内容日時 | 備考 |
|---|---|---|
| 2025年5月30日 AM2:00頃 | 問題発生 | システム改修による不具合の発生 |
| 2025年6月2日 AM10:00頃 | 問題検知 | ある地域のお客様から事業者様に指摘があり検知 |
| 2025年6月2日 PM01:00頃 | 原因調査・システム修正完了 | この調査過程で全地域のサイトに関連する問題であることを認識しました |
| ~2025年6月2日 PM23:00頃 | ・影響範囲の調査 ・お客様へのご案内 ・利用地域関係者へのご案内 |
お客様へのお願いとご対応
他のお客様情報が表示された新規ご登録のお客様
誤った情報を表示してしまい申し訳ありませんでした。重ねてお手数をおかけして恐れ入りますが、誤表示された情報は破棄していただけるようお願いいたします。
なお、表示されたメールアドレスを利用してログインを試みることは、不正アクセス防止法違反となりますので、お控えいただけるようお願い申し上げます。
他のお客様から情報閲覧が可能となったお客様
ご心配をおかけしてしまい誠に申し訳ありません。悪用されるリスクと対処方法について記載いたしました。
悪用されるリスクについての考察
以下を踏まえると閲覧可能となった情報が悪用されるリスクは大きくはないと考えられます。ただし、後述したような攻撃に利用される可能性がございます。
- 情報が誤表示されたお客様は不特定多数ではなく1名となります。
- パスワード・クレジットカード情報の漏洩はございません
- (システム側の不具合であり)悪意のある攻撃により漏洩したものではございません
- いったんログアウト状態になると閲覧はできません。← 全顧客の強制ログアウト対処済
- 物販サイトや株式売買サイトではなく、予約サイトであるため予約時点で不正取引を検知して対応できます。この時点で金銭的リスクはありません。
発生しうる攻撃と対処方法について
考えられる攻撃としては、閲覧したメールアドレスに実在の予約サイトを騙って偽サイトに誘導して、そこで重要情報を入力させる「フィッシング詐欺」となります。
その手口は以下となります。
- 予約サイトを騙ったメールを送信する
- メールの件名には「重要」「緊急」「30%割引」などといった文言が含まれる
- メール内リンクから偽サイトに誘導する
- 偽サイトでパスワードやカード情報の入力を促す
対処としては、お知らせに記載したメールアドレス以外からのお知らせは無視していただけるようお願いいたします。
判断しかねる場合は、メール内のリンクはクリックせず、Web検索やブックマークからアクセスしていただけるようお願いいたします。
また、ご不安な場合は、お客様マイページ(メールに記載しております)にログインして、メールアドレスを変更していただければと思います。
再発防止に向けた取り組み
- Defaultデータベースをダミーデータベースとします
- 開発環境でマルチテナント動作をエミューレ―ションします
- 顧客情報、予約情報など機密性の高い情報のキー値は、全サイトを通じて一意になるように設計を変更します
Defaultデータベースをダミーデータベースとします。
Defaultデータベースを地域Aに割り当てていたため、意図せず「データベース接続先情報がリセット」された時に地域Aにアクセスしてしまっておりました。割り当てを変更して新たに用意したダミーのデータベース(顧客データ、予約データ等が空)を割り当てます。これによって本件の「データベース接続先情報がリセット」が万が一発生しても本事象は発生しなくなります。(2025年6月4日21時に実施済)
開発環境でマルチテナント動作をエミューレ―ションする
今回の不具合は、マルチテナント化(※)対応を行う中で不用意に実施した改修により発生しました。開発環境では再現しないものだったため本番環境にリリースしていました。開発環境で再現しなかった理由は、シングルテナントで動作しているためです。マルチテナント状態をエミュレーションできるように開発環境を整えます。
(※)全地域を同一基盤上で実行することでシステムの実行効率を大幅に向上させることができます。
機密性高い情報のキー値の設計変更
顧客情報、予約情報など機密性の高い情報のキー値は、全サイトを通じて一意になるように設計を変更します。これにより万が一、意図しない状態になってもエラーとなり他のお客様の情報が閲覧可能になることはありません。(対応期限:2025年6月20日)
最後に
このたびは、お客様の大切な個人情報が第三者に誤って表示されるという重大な事案を発生させてしまい、誠に申し訳ございませんでした。
お客様にご迷惑、ご心配をおかけしましたこと、心よりお詫び申し上げます。
今回の事象を重く受け止め、再発防止に向けた管理体制の見直し・システムの強化および教育徹底など再発防止に努めてまいります。
今後とも変わらぬご信頼をいただけるよう、一層の情報管理体制の強化に取り組んでまいります。
本件に関するお問い合わせ先
ご不明点やご相談がございましたら、下記までお問い合わせくださいますようお願いいたします。
お問い合わせフォーム: こちらからお問い合わせください。
カスタマーサポート窓口
Appendix/個人情報保護委員会への報告
個人情報保護委員会は、個人情報保護法及びマイナンバー法に基づき設置・運営されている国の機関です。
本件は「報告義務」要件には該当しませんでしたが「任意報告」が可能でしたので報告いたしました。報告内容は、本ページに掲載した情報およびお客様にご案内したものと同等となります。
報告義務要件について
第1号(要配慮個人情報)
該当しません。
要配慮個人情報とは
- 人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実
- その他政令で定めるもの
** 身体障害、知的障害、精神障害等の障害があること、
** 健康診断その他の検査の結果、保健指導、診療・調剤情報、
** 本人を被疑者又は被告人として、逮捕、捜索等の刑事事件に関する手続が行われたこと
** 本人を非行少年又はその疑いがある者として、保護処分等の少年の保護事件に関する手続が行われたこと
第2号 (財産的被害 )
該当しません。
第3号(不正の目的)
不正アクセスではなく、システム不具合であるため該当しません。
第4号 (千人超 )
情報漏洩したお客様は、109名ですので該当しません。