ジェイティービーは、グループOTAのi.JTBのサーバーから、約793万人分の個人情報流出の可能性があることを発表した。外部からの不正アクセスによるもので、流出した情報は氏名やメールアドレス、住所、電話番号のほか、パスポート番号など9項目(下記参照)。JTBによると、現在のところ(6月14日18時時点)個人情報流出の事実は確認されておらず、個人情報の悪用による被害を受けた報告もないという。
対象は、「JTBホームページ」「るるぶトラベル」「JAPANiCAN」でのオンライン予約、またはJTBグループ内外のオンライン販売提携先(提携サイト)でのJTB商品の予約にかかる情報。
ただし、「JTB旅物語」や「海外ダイナミックパッケージ」など一部商品(下記参照)の予約は対象外。JTBと提携先など販売実店舗やJTB旅物語販売センターでの予約は対象とならないが、オンライン予約後に店舗で精算した場合の情報は対象となる。
対象者に対しては登録メールアドレス宛にメールで連絡しているところ。特設窓口(下記参照)を設け、不審な連絡や被害を受けた場合は、窓口への連絡をするように依頼している。一方でJTBとして継続的に情報収集を行ない、新たな事実が判明した場合は連絡し、責任をもって対応するとしている。
また、今回の件を受けてグループ全体のITセキュリティを強化。本社内に、ITセキュリティ専門会社と連携する「ITセキュリティ専任統括部門」を設置した。また、現行の社員に対するITセキュリティ教育でも、サイバー攻撃への察知力を高めるための実践的な演習も行なうという。
経緯と対応
本件の発端は、2016年3月15日に取引先を装ったメールの添付ファイルを開き、i.JTBのパソコンがウイルス感染したのがはじまり。この時点では感染に気付かず、3月19日~24日にかけて個人情報を保有していないサーバーで内部から外部への不審な通信を複数確認。
不審な通信を特定して遮断し、ネットワーク内のサーバーやパソコン全てを調査した結果、サーバー内に外部からの不正侵入者が3月21日に作成して削除したデータファイルがあることを、4月1日に確認した。
外部のセキュリティ専門会社とウイルス駆除と共に、データファイルの復元や不正アクセスの調査等を行なったところ、5月13日に復元したデータファイル内に個人情報が含まれ、情報流出の可能性があることが判明。データの正規化に着手し、復元したデータファイルから、約793万人分の個人情報が含まれていたことが判明した。
この不正アクセスを受け、(1)特定された外部への不審な通信の遮断、(2)観戦範囲の特定とウイルスの駆除、(3)個人情報へのアクセス制御の強化、を完了。個人情報流出の可能性があったと判明した時点で本社内に「事故対策本部」を設置したほか、警察にも相談している。
【流出の可能性のある個人情報】
- 氏名(漢字、カタカナ、ローマ字)/性別/生年月日/メールアドレス/住所/郵便番号/電話番号/パスポート番号/パスポート取得日(パスポート情報のうち、現在も有効なものは約4300件)
【情報流出の可能性がない商品】
- 「JTB旅物語」「高速バス」「現地観光プラン、レジャーチケット、定期観光バス」「レストラン」「海外ダイナミックパッケージ」「海外航空券」「海外ホテル」「海外現地オプショナルツアー」「その他旅行関連商品(保険、積立等)」
【お客様特設窓口】
- 専用フリーダイヤル:0120-589-272
- 受付時間:09:00~20:30(土・日・祝含む)