本件事故に関するご報告
ご利用中��の皆さまに、心よりお詫び申し上げます。
PBR社は、本件事故について『隠さず・止めず・やり切る』方針で対応してきました。
本件事故の経緯と現在の状況
● 何が起きたか?
外部の広告委託先の代表者が、当社の顧客情報を不正に持ち出して他社に提供しました。ハッキングではありません。 漏えいは氏名・住所(生年月日の可能性あり)に限られ、資産や取引情報、本人確認書類の画像等は含まれていません。
● 影響の範囲
確定した情報として、784件のお客様情報が流出しました。お客様の資産流出は一切ございません(実保有数量と台帳上の数値が一致/不正アクセス痕跡なし)。
● 時系列での要点
9/17 疑義発生 → 全アクセス権を即時遮断 → 9/18 全顧客通知 → 9/19 CEO謝罪 → 9/22 原因特定・委託先との契約解除・データ回収 → 10/15 流出した全員に補償配布 → 10/22 補償完了告知 → 10/31 刑事告訴済。
● 現在の状況
二次流出なし。
弁護士協議を継続しつつ、刑事告訴を終え、民事上の法的手続き準備を進めています。
① 資産被害はありません。(運用は順調に継続、運用レポート公開済)
② 被害対象のお客様すべてに謝罪と補償を完了しています。
③ 刑事告訴済み、民事の法的手続きに向けた準備を現在進めています。
④ 経緯と進捗を日付入りで全て公開し、今後も公開し続けます。
PBR社の対応と対策
● すでに対応したこと
個人情報保護委員会へ報告/アクセス権の最小化・全社遮断→再付与/全端末パスワード再設定&二段階認��証/サーバ・ネットワーク総点検(不正ログゼロ)/端末監視ソフト導入/顧客情報を扱う外部委託先ゼロ(内製化100%)/全業務委託先の見直し/内部監査体制整備/外部専門企業と連携した監視・ポリシー整備・社員教育/情報セキュリティ専門企業と提携・同社主導のもと抜本的に業務改善 など。
● 社内外の改善
① 内製化100%: 顧客データは社内完結で委託による不正のリスクを排除
② 権限最小化×ログ可視化: 触れる人を最小限に、だれが・いつ・何をを常時記録
③ 外部専門企業の知見を常時投入: 専門企業2社と監視・対策�を二重化、第三者診断/監査で客観評価、外部主導の教育で従業員も強化
● さらに万全を期すために
11月: 専門業者とともに外部監査に向けた改善改革・教育第2期開始
12月: 外部セキュリティ診断の受検・結果公表
1月以降: 外部監査の受検と国内基準/ISO準拠体制の整備を段階導入(持続的に改善)
外部の情報セキュリティ専門業者と提携し、これまで以上に安心と安全の環境を構築してまいります。あらゆる事故を起こさないために、厳重な管理を継続しつつ、専��門業者に監査を受けながらサービスをご提供いたします。
今後のお知らせは、コーポレートサイトの「お知らせ」にて発信いたします。