タリーズコーヒージャパンが運営するオンラインストアへの不正アクセスによってクレジットカード情報52,958件が漏えいした可能性。情報を発信するタイミングや内容についての考え方。

こんにちは。弁護士の浅見隆行です。

2024年10月3日、タリーズコーヒージャパン(以下、タリーズ)は、オンラインストアへの不正アクセスによってお客さまの個人情報92,685件のうちクレジットカード情報52,958件が漏えいした可能性があることを明らかにしました。

今回は、タリーズの情報発信について危機管理広報の観点から見ていきます。

漏えいの可能性が指摘された直後の速報

タリーズのリリースによると、事実の経過は以下のとおりです。

警察からの連絡と緊急対応

2024年5月20日、オンラインストアを利用したお客様のクレジットカード情報の漏えい懸念について警視庁から連絡を受け、同日、「タリーズ オンラインストア」でのカード決済を停止、5月23日にはオンラインストア自体を一時閉鎖。

5月30日には「不正アクセスによるシステム侵害発生のお詫びとお知らせ」をサイトに掲載しました。

この時点では、調査が未了であるため、

 このたび、弊社が運営する「タリーズ オンラインストア」において第三者による不正アクセスでのシステム侵害が判明いたしました。

(中略)

個人情報の一部流出が懸念されるため、ネットワーク等の稼働を部分的に見合わせており、事実実態を正確に把握するため第三者調査機関に依頼し調査を行っています。

なお、現時点では流出についての詳細は判明しておりませんが、オンラインストアに登録されている会員様の総数は92,685名です。あくまでも総登録者数であり、流出の事実及び影響を受けた人数につきましては、現在調査をしております。

との内容に留まっています。

この内容自体は問題はありません。

個人情報保護法ガイドラインが求める速報のタイミング

他方で、オンラインストアを一時閉鎖してから速報のリリースを掲載するまでに一週間のタイムラグがあるのは気になります(調査の結果を待っていたのでしょうか?)。

タリーズの速報のリリースは比較的早い方だとは思います。決して遅くはありません。

しかし、クレジットカード情報の漏えいや不正アクセスなど個人情報の漏えいによって「財産的被害が生じるおそれがある事態」や「不正の目的をもって行われた漏えい等が発生した事態」では個人情報保護委員会に速報を義務づけられており、かつ、個人情報保護法ガイドライン3-5-3-3 では「「速やか」の日数の目安については、個別の事案によるものの、個人情報取扱事業者が当該事態を知った時点から概ね3~5日以内である。」と解説されています。

そうだとすれば、タリーズは、行政である個人情報保護委員会だけではなく、お客さまに対しても、警察からクレジットカード情報の漏えい懸念についての連絡を受けてから3〜5日以内に速報のリリースを掲載しておいたほうがよかったようにも思います。

詳細の広報では時間がかかった理由を説明

今回(2024年10月3日)にタリーズが公表した内容は、速報した内容の詳細を続報したものと位置づけることができます。

タリーズは、5月30日に速報のリリースを公表してから詳細までに時間を要したことについて、

2024年5月20日の漏洩懸念が発覚した後、2024年5月30日に弊社Webサイト等で、「不正アクセスによるシステム侵害発生のお詫びとお知らせ」のご案内をいたしましたが、その後の今回の公表に至るまで時間を要しましたことを深くお詫び申し上げます。不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、及びカード会社との連携を待ってから行うことにいたしました。

と説明しています(弊社が運営する「タリーズ オンラインストア」への不正アクセスによる個人情報漏洩の恐れに関するお詫びと調査結果のご報告)。

本件に限らず、クレジットカード情報の漏えいを会社が公表した場合、その会社のお客さまは「自分のカード情報が漏えいしたのか」「漏えいしたカード情報が悪用されるのではないか」「カード情報の悪用によって自己に財産的被害が生じるのではないか」「悪用されていた場合、会社は補償してくれるのか」などを心配し、不安になります。

タリーズの公表の上記部分を見ると、お客さまが不安になる要素についてお客さまの不安を払拭できるだけの環境を整えることができたから今回の公表をした、ということがわかります。

お客さまの不安を解消するための情報を提供

タリーズのリリースで、特徴的なのは、その不安への答えを「お客さまへのお願い」として

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

 なお、クレジットカード情報漏洩の可能性があるお客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

と詳細に説明していることです。

既にクレジットカードと連携済みであること、お客さまが行うべき内容、お客さまがクレジットカードの差し替えに要する手数料を負担しないように手配済みであることなど、お客さまが気になっていることに答えています。

こうした広報は、お客さまの不安を払拭することにも繋がります。

また、お客さまに寄り添っている企業姿勢を示す内容とも言えるので、お客さまからの信頼を取り戻すための一要素にもなります。

フォーマットに乗っけただけの形式的な広報ではなく、お客さまのことを慮った工夫された広報と言えるのではないでしょうか。

アサミ経営法律事務所 代表弁護士。 1975年東京生まれ。早稲田実業、早稲田大学卒業後、2000年弁護士登録。 企業危機管理、危機管理広報、コーポレートガバナンス、コンプライアンス、情報セキュリティを中心に企業法務に取り組む。 著書に「危機管理広報の基本と実践」「判例法理・取締役の監視義務」「判例法理・株主総会決議取消訴訟」。 現在、月刊広報会議に「リスク広報最前線」、日経ヒューマンキャピタルオンラインに「第三者調査報告書から読み解くコンプライアンス この会社はどこで誤ったのか」、日経ビジネスに「この会社はどこで誤ったのか」を連載中。
error: 右クリックは利用できません