あなたと、コンビに、FamilyMart

2003年11月19日
企業情報

ファミマ・クラブ会員情報流出に関する調査結果報告について

株式会社ファミリーマート(本社 東京都豊島区/代表取締役社長 上田準二)のインターネット/カタログショッピングの会員組織であるファミマ・クラブの会員に対して、債権回収業者を名乗る不審な請求書や督促状が多数届いている件について、弊社では会員の皆様が詐欺被害に遭われないことを優先し、ホームページやメールでの注意喚起と共に、報道関係の皆様にも10月31日に経過報告をさせていただきました。

情報の預託先である子会社の株式会社ファミマ・ドット・コム(本社 東京都豊島区/代表取締役社長 井上史郎)と共同で役員を中心とした調査委員会(委員長:弊社社長 上田準二)を設置し、調査を実施してまいりました。それに加え、専門の不正調査支援サービス会社(株式会社ケーピーエムジーエフエーエス)にも調査を委託、さらに厳格なる判断をすべく河内悠紀弁護士に特別顧問をお願いし、意見を受けながら調査活動を継続してまいりました。

調査に時間を要しましたが、会員の皆様からお寄せいただいた情報を分析した結果、現在約140万人の会員のうち、2002年10月17日現在のパソコンでのメールマガジン購読者(約18万人)の会員情報(氏名・住所・性別・生年月日・電話番号・WEBメールアドレス)が社外に流出し、その一部の会員に、架空請求書が送付されていることがわかりました。
大切なお客様の個人情報が社外に流出し、ファミマ・クラブ会員の皆様に架空請求書が送られてくるという不快感やご心配をおかけしたことを深くお詫び申し上げます。

1.調査委員会の調査結果
調査委員会では、お客様からの情報、関係者の事情聴取、情報システム及び関連資料により個人情報の流出の可能性につき調査を実施いたしました。調査結果は次のとおりです。
(1) 流出データは2002年10月17日現在のパソコンのメールマガジン購読会員(18万2780名)の個人情報の全部または一部。但し、ユピカードの信用情報はファミマクレジット株式会社が厳格に管理しており、流出した事実はない。
(2) (株)ファミマ・ドット・コムは同時期にパソコンのメールマガジンの配信に関する企画業務を外部に委託しており、その際に受渡されたデータの可能性が極めて高い。
(3) (株)ファミリーマート及び(株)ファミマ・ドット・コムの社員は、アクセス記録調査・事情聴取を重ねたが、流出させた事実は確認できなかった。
(4) 業務委託先の会社については、協力を得られる範囲で調査したが、自社からの流出はないとの回答があり、これ以上の事実を確認することは民間では不可能。
(5) 情報の漏洩者の特定とその対応について、所轄警察署に捜査を依頼。

2.個人情報の保護に関する措置
弊社では、(株)ファミマ・ドット・コムともども、個人情報の保護に関する法律に対応し、プライバシーマークの取得に向けて準備を行ってまいりましたが、今回の件を重く受けとめ、店頭を含むあらゆる個人情報の保護に関する社内規定を強化いたしました。

3.個人情報セキュリティ対策
今回、社外の専門家の意見も取り入れ、既に実施したことに加えて、さらに厳格なセキュリティ対策を実施してまいります。
(1)外部からの不正侵入への対策
 ・会員情報操作端末専用ルームへの入退室管理の強化
 ・情報格納媒体の保管・管理体制の厳格化
(2)内部のアクセス制限と不正侵入への対策
 ・アクセス可能人員の削減
 ・指紋認証システムの導入によるアクセス権限認証の強化
 ・ID・パスワードの変更をより短期間に強制することによる、不正アクセスの抑止

4.関係者の処分
今回の個人情報の流出により、会員の皆様に多大なるご心配、ご迷惑をおかけする事態を招いたことを厳粛に受けとめ、関係者を次の通り処分いたします。

・代表取締役会長           田邉 充夫   月例役員報酬の10%減額を3ヶ月
・代表取締役社長           上田 準二   月例役員報酬の10%減額を3ヶ月
・代表取締役副社長         矢田 廣吉   月例役員報酬の10%減額を3ヶ月
・常務取締役               井上 史郎   月例役員報酬の20%減額を3ヶ月
 (担当取締役)
・常務取締役               浦元 康彦   月例役員報酬の10%減額を3ヶ月
 (当時のコンプライアンス委員長)
・取締役                   関 正綱     月例役員報酬の10%減額を3ヶ月
 (情報セキュリティ委員長)
5.ファミマ・クラブ会員への対応
会員の皆様に多大なご心配、ご迷惑をおかけしましたことを重ねてお詫び申し上げるとともに、貴重な情報・ご意見をご提供いただき厚く御礼申し上げます。別途郵送にて事実関係のご報告とお詫びをさせていただくとともに、流出したデータに記録されていた18万2780名の皆様には、お詫びの気持ちとして 1000円相当のクオカードを送付させていただくことといたしました。またその他の会員の皆様には、ファミマ・ポイント100ポイントを付与させていただきます。

弊社は、皆様からお預かりしている個人情報について、今回のような流出を二度と発生させないことが皆様からいただいた信頼を回復する唯一の方法であると存じます。今後とも捜査当局に協力し全容解明に努めるとともに、セキュリティ対策の強化と個人情報の保護に関する追加措置を実施し、皆様から信頼していただける企業となるよう最大限の努力を尽くしてまいります。

なお、今後とも、何かお気づきの点がございますときは、次のファミマ・クラブお問い合わせセンターにご意見、ご要望をお寄せいただきますようお願いいたします。

受付時間:10:00〜19:00(土日休業)
※2月1日(日)より営業時間が変更となりました。
電話番号:0120-106-544(携帯電話も可)
※ 間違い電話が多くなっております。
ダイヤルの番号をご確認の上、おかけ間違いのないようご注意ください。
以上

[参考資料]

<これまでの経緯>
8月21日
・会員の方からのお問い合わせ
・調査委員会による調査を開始
・警察へ相談し、お問い合わせに対して随時回答を開始

9月26日
・会員からのお問い合わせに対する調査結果のご報告を開始(調査継続)

10月15日
・別の名義を名乗る債権回収業者からの請求に関わるお問い合わせが増加

10月17日
・調査を継続する一方、警察への被害届
・ 会員の方からのお問い合わせの増加を受けて「ファミマ・クラブからのお知らせ」と題する告知文を弊社ウェブサイトに掲載

10月19日
・ 「会員情報の漏洩の可能性に関するご報告」と題する告知文を弊社並びにファミマ・ドット・コムのウェブサイトに掲載

10月23日
・ 会員の皆様が詐欺被害に遭われないよう注意を喚起するため、「ファミマ・クラブ会員の皆様への大切なお知らせ」と題する告知文を弊社並びにファミマ・ドット・コムのウェブサイトに掲載
・ ファミマ・ドット・コム配信のメールマガジン(WEB、モバイル(i-mode、Ez-web、Voderphone Live!)により、ファミマ・クラブ会員に詐欺被害に遭われないよう注意を喚起するお知らせメールを臨時配信
・ 不正サービス調査会社への調査委託

10月31日
・ファミマ・クラブ会員情報の件について広報発表

11月4日
・調査委員会の特別顧問として河内悠紀弁護士就任


<調査結果の詳細>

皆様からお寄せいただいた情報を分析するとともに、弊社の関連部門、株式会社ファミマ・ドット・コム、及び同社の情報の預託・提供先の関係者、情報を入力した情報システム機器、各種媒体などについて、事情聴取、ログ分析、データリカバリ、データマイニングなどの方法により個人情報の流出の可能性につき調査を実施いたしました。


【1】流出した個人情報の範囲
18万2780名の会員の個人情報が流出した可能性があり、他の会員の個人情報は流出していないものと判断いたしました。

1.18万2780名の流出の可能性があると判断した理由
(1) 情報をお寄せいただいた35名の会員の方々が登録に際し住所、氏名などに特有の記号を使用されており、架空債権回収業者からの請求書に同じ記号が使用されていた。
(2) ある会員の方から500名のメールアドレスが誤って送信されてきたとの情報をお寄せいただき、調査したところ全件ファミマ・クラブ会員のメールアドレスであることを確認。
(3) 上記、(1)、(2)により、少なくともこれら535名の個人情報が流出したと判断。この会員の特徴を調査。
(4) 全員が平成14年10月17日以前の入会会員で、パソコンへのメールマガジンの配信を希望する会員であることが判明。
(5) パソコンのメールマガジン配信に関連するデータの作成記録を調査したところ、該当するデータの存在が判明。 ((株)ファミマ・ドット・コムの従業員が平成14年10月18日に作成し、10月17日までに入会されたパソコンのメールマガジンの配信希望会員の個人情報を記録したもので、(1)、(2)の会員の(4)の特徴と完全に一致)
(6) 情報をお寄せいただいた(1)、(2)以外の会員で、精度の高い情報をお寄せいただいた方の特徴はこのデータとほぼ一致。
(7) 一致していない会員についても、弊社とは別の流出経路の可能性が否定できないことや、お寄せいただいた情報の精度などを考慮すると、このデータの情報の流出と矛盾しない。このデータの個人情報の全部または一部が流出したと判断。

2.他の個人情報は流出していないものと判断した理由
(1) お寄せいただいた殆どの会員情報の特徴は、平成14年10月18日に作成したメールマガジンのデータとほぼ一致するものであり、他のデータとの合理的な関連を示す情報はない。
(2) 住所、氏名などに特有の記号を使用されている10月18日以降に入会された会員を調査の結果、架空債権回収業者から請求を受けたとのお問い合わせはなく、10月18日以降での情報流出は確認できない。
(3) データベース、各種データを収納した情報システム機器へのアクセスに関して、アクセス権限があるものと、ないものに分けて、アクセス状況を調査したが、不正な情報の流出は確認できない。
(4) 各種データを収納した媒体についても不正な情報の流出は確認できない。


【2】流出経路
(株)ファミマ・ドット・コムでは、平成14年10月18日に作成したパソコンのメールマガジンのデータをその配信に関する業務を委託した会社に提出するとともに、このデータを社内のサーバに収納しておりました。従いまして、有力な流出経路として、

(1)(株)ファミマ・ドット・コムの従業員がこのデータを流出させたこと
(2)業務委託先の会社の従業員がこのデータを流出させたこと

が考えられますが、

(3) (株)ファミマ・ドット・コムにつきましては、社内のサーバに収納したデータへのアクセス記録はなく、従業員に対する事情聴取を重ねましたが、データを流出させた事実は確認いたしておりません。
(4) 業務委託先の会社につきましては、協力を得られる範囲で可能な限りの手段を尽くして調査いたしましたが、自社からの流出はないとの回答があり、事情聴取した従業員も流出を否定しており、残念ながらこれ以上の事実を確認することは出来ませんでした。

流出経路の特定に至らず申し訳ございませんが、これ以上の調査につきましては強制的な捜査権のない弊社には限界もありますので、調査により知り得た事実とこれに関する資料を以前から本件の捜査を依頼している所轄警察署に提出し、更なる捜査を依頼しておりますので、ご理解を賜りたく存じます。

<個人情報の保護に関する措置>
個人情報の保護の重要性を自覚するため、役員、従業者の全てに対し、改めて個人情報の保護に関する法律などの法令の遵守、個人情報の適切な管理などを周知徹底するとともに、個人情報の保護に関する法律に即し、現行の社内規程を以下のとおりより厳格なものといたします。

(1)個人情報の利用目的をより明確にするための社内手続きの整備
(2)データベースの作成をより制限し、必要不可欠な範囲に限定
(3) 個人情報を同意いただいた第三者に提供するにあたり、提供先の個人情報の保護水準をより高いものに設定。
(4)安全管理措置につき、より水準の高い情報セキュリティマネジメント基準を設定
(5)従業者、委託先への監督のより一層の厳格化
(6)委託先の個人情報の保護水準をより高いものに設定
(7)不必要となった個人情報の消去・廃棄をより徹底
(8)継続的な教育計画を定めて実施
(9)加盟者による個人情報の保管、廃棄をより厳格化


<現在までに会員に届いている架空請求業者名>
・オリエンタルグループ
 東京都渋谷区代々木3-2サンシャインビル5階
・グローバルコーポレーション
 東京都渋谷区代々木3-2 サンシャインビル5階
・サイバーグループ
 東京都目黒区上目黒1-16モリビル18階
・ジャパンメディアネット
 東京都北区赤羽2-14-2高杉ビル3階
・ジャパンファーストネットワーク
 東京都目黒区目黒本町4-10-15住友ビル8階
・スカイコミュニケーション
 東京都豊島区南池袋2-7-5 池袋パークタワー7階
・セイコウグループ
 東京都港区白金台1-9-18住友ビル11階
・テクノグループ
 東京都千代田区東神田1-33住友ビル7階
・プランニングネットワーク
 東京都千代田区東神田1-14-1 住友ビル7階
・フレンズネット
 東京都新宿区西新宿2-18-3
・ワールドグローバルネット
 東京都北区赤羽2-14-2高杉ビル3階
・債権回収管理センター
 東京都神田淡路町1番地4-2幸親第2ビル8階
・新日本債権回収センター
・東日本債権回収センター
・日本債権回収機構
 東京都墨田区錦糸6-1-13錦糸町森ビル13階
・日本管財
 東京都墨田区錦糸6-1-13錦糸町森ビル13階

など
以上

ニュースリリース2003年

ページトップへ