JTBの個人情報約793万件が流出

個人情報漏えい事故の概要

2016年6月、大手旅行代理店JTBは、同社の旅行商品を販売する子会社i.JTBのサーバーに不正アクセスがあり、約793万人分の個人情報が流出した可能性があることを発表しました。

個人情報流出の経緯を時系列で整理すると、以下の様になります。

2016年3月15日、i.JTBに取引先を装ったメールに添付されていたファイルをオペレーターが開き、同社のPCがウィルスに感染しました。いわゆる「標的型メール」と言われる手法です。

19日には、外部委託会社からの指摘により、iJTBのサーバーから外部への不自然な通信が発覚し、応急処置としてサーバーをネットワークから隔離しました。しかしながら、その後も不審な通信が複数回確認され、これら全ての通信を遮断するには、25日まで時間を要しました。

4月1日、JTBのIT部門は外部セキュリティ会社の調査結果を受け、流出したデータに個人情報が含まれる可能性を認識します。そして、経営陣が事態を認識しするまでには、さらに5月16日まで時間がかかります。

その後、JTBは「事故対策本部」を設置し、外部企業と協力し、データ解析を進め、その結果、約793万人の個人情報を含むデータファイルが作成されていることが判明しました。
流出した可能性がある個人情報の内容は、氏名、性別、生年月日、メールアドレス、住所、電話番号、パスポート番号、パスポート取得日など。パスポート情報は、有効期間中のものが約4300件含まれていました。JTBホームページ、るるぶトラベル、JAPANiCANの顧客情報にあたります。

個人情報漏えいによる影響と今後の対応

JTBは、ITセキュリティ専任統括部門、及び専用の相談窓口を設け、個人情報流出の可能性がある顧客に連絡を行うとしましたが、顧客への一律補償等は行わず、被害が確認されれば個別対応すると発表しました。

この対応には批判も多くありましたが、顧客への補償という形での金銭的な損害は今のところなく、また、JTBは非上場のため、直接的な株価への影響もありませんでした。

しかしながら、起こした事故の重大性から、顧客やメディアから厳しい目にさらされ、継続的な情報セキュリティの向上を求められることになりました。また、仮に二次被害が発覚した場合など、引き続き対応を余儀なくされることになりました。