九州旅客鉄道(JR九州)は、同社が運行する観光列車「ななつ星 in 九州」の関連商品販売を行うサイト「ななつ星 Gallery」で最大7996名の個人情報が流出したことを公表した。同社によると、サイトシステムの脆弱性を狙った第三者攻撃による不正アクセスによるもの。サイトが開設された2013年10月から2019年3月11日の間、流出していたものとみられ、決済代行会社の連絡によって3月11日に発覚。同社では、その当日にサイトを閉鎖している。
JR九州によると、今回、流出したとみられる全個人情報のうち、クレジットカード情報を含むのは最大3086件。氏名、住所、生年月日のほか、カード情報を登録したユーザーのカード番号、有効期限、セキュリティコードも流出した可能性がある。また、暗号化処理を済ませていた「パスワード」「秘密の質問の答え」も含まれているという。
同社では、サイト閉鎖後、第三者調査機関の調査を経て、個人情報保護委員会、九州運輸局、福岡県警察本部に報告。決済代行会社、カード会社とも報告書の内容を共有したという。個人情報が流出した可能性のあるユーザーに対しては、4月12日からメールや郵便でお詫びと経緯の書面を送付。流出によって発生したカードの不正使用やカード再発行の手数料がユーザーの負担にならないようカード会社に依頼をしている。
この件について、ユーザーからの問合せ窓口を設置。問合せ先は以下の通りだ。
【問い合わせ先】
- 九州旅客鉄道株式会社 「ななつ星 Gallery」 お客さまお問い合わせ窓口
- 電話番号:0120-772-962(フリーダイヤル)
- 受付時間:9:00~18:00( 土日祝日を除く)
- メール:contact@nanatsuboshi-gallery.jp(24 時間受付)