東映ビデオオンラインショップ- 正利用対策が未実施で 顧客のカード情報1万395件が流出か

不正アクセス 個人情報漏えい

東映の子会社である東映ビデオは、ECサイト「東映ビデオオンラインショップ」において、顧客1万395件のクレジットカード情報などが流出した可能性があることを発表した。

同社の説明によると、東映ビデオオンラインショップにおいて、2019年5月27日~2020年5月11日にかけて不正アクセスが発生。
同時期にオンラインショップでカード決済をおこなった顧客1万395件の、クレジットカード情報(カード名義人、カード番号、有効期限、セキュリティコード)が流出した可能性があるもの。
システムの脆弱性を突いた不正アクセスによるで、クレジットカード情報の不正取得に繋がる改ざんや不正プログラム等は発見されなかったと説明しているため、2018年6月に施行された「改正割賦販売法」において禁止されている「クレジットカード情報の非保持化」などの不正利用対策が未実施で、サーバー内に顧客のクレジットカード情報を保持していたことが推測される。

2020年5月11日に、提携するクレジットカード会社から「利用者のクレジットカード情報に漏えいの可能性がある」と指摘を受け、調査をおこなったところ、5月29日にサイトの脆弱性を突いた不正アクセスの痕跡を発見した。
公表が遅れた理由について「情報漏えいの有無について、クレジットカード会社と見解の相違があり、協議を重ねていたため公開が遅れた」と説明している。