2021年2月22日
「来店予約・オンライン相談サービス」システムへの第三者による不正アクセスについて
このたび、弊行ホームページで提供している「来店予約・オンライン相談サービス」で利用しているクラウド型システムに対し、社外の第三者から不正なアクセスがあり、お客さま情報の一部が閲覧されたことを確認いたしました。「来店予約・オンライン相談サービス」は、各種のご相談を希望されるお客さまがご指定の店舗・日時に来店またはオンラインによるご相談を予約できるサービスです。
本件を受けた対応として、一旦サービス提供を停止し、システム設定を変更いたしました。この対応の実施後は、社外の第三者による不正アクセスは確認されておりません。また、現在のところ、お客さまへの被害等は確認されておりません。
お客さまにご迷惑とご心配をお掛けしましたこと、心よりお詫び申し上げます。本件の概要と弊行の対応につきまして、以下の通りご報告いたします。
1.経緯
昨年12月頃から他社で発生しているクラウド型システムへの不正アクセス事案を受け、弊行で独自に調査を行ったところ、ホームページで提供する「来店予約・オンライン相談サービス」で利用しているクラウド型システムに保管されたお客さまに関する情報が、社外の第三者からアクセスできる状態であったことが判明しました。
本件事象の発覚を受け、弊行は当該サービスの利用を2021年1月29日から翌1月30日まで停止し、システムの設定を変更し、安全を確認した後、サービスを再開いたしました。この対応の実施後、不正なアクセスは確認されておりません。
また、並行してクラウド型システムへの過去のアクセス状況について調査を行った結果、クラウド型システムに保管されたお客さまの情報の一部に、社外の第三者が不正にアクセスし情報が閲覧されていたことが判明いたしました。
2.社外の第三者からアクセスがあった情報
弊行「来店予約・オンライン相談サービス」で利用しているクラウド型システムに保管された以下の情報となります。
・氏名(姓または名だけのものを含む) 2,062名分
上記のお客さまに関する以下の情報
‐電話番号 608件
‐メールアドレス 49件
‐お客さま管理番号 227件
‐弊行口座の有無 779件
‐ご来店希望店舗名/日時 15件
‐ご相談内容(商品・サービス名等)13件
なお、口座番号やクレジットカード番号、暗証番号等の情報は含まれておりません。
3.原因
「来店予約・オンライン相談サービス」の予約管理システムで利用している外部のクラウド型システムの設定の不備
4.これまでに実施した対応
(1)クラウド型システムのセキュリティ設定変更対応
2021年1月29日より30日まで、サービスの利用を一旦停止のうえ、システムの設定変更を完了いたしました。
(2)情報が閲覧された可能性があるお客さまへのご案内
ご連絡可能なお客さまに個別にご連絡を行い、発生した事象に関するご説明とお詫びを申し上げるとともに、二次被害に関する注意喚起および被害に遭われた際のお問い合わせ先のご案内をしております。
(3)監督官庁への報告
社内調査結果をもとに、監督官庁に報告を行いました。
5.再発防止策
今回の事態を厳粛に受け止め、クラウド型システムを利用する場合のセキュリティ管理および定期的な見直しを強化し、再発防止に努めてまいります。
6.本件に関するお問合せ先
- 専用ダイヤル
- フリーダイヤル 0120-06-3400(9:00~18:00)
-
※ 繋がりにくくなる場合があります。
お客さまにご迷惑およびご心配をお掛けすることとなりましたことを、重ねて深くお詫び申し上げます。
イオン銀行では、今回の事態を厳粛に受け止め、すべての提供サービスにおけるセキュリティ管理及び定期的な見直しを強化し、再発防止に努めてまいります。
以 上