5月24にクラウドクレジットからこんなメールが来ていました。
平素は格別なお引き立てを賜り、誠にありがとうございます。
当社ウェブサイトにおけるお客様のマイページにおきまして、ご本人様以外のお客様の情報が表示されてしまう可能性のある事象が発生いたしました。
当社にて確認が取れた2件に加えて数件程度、ご本人様以外のお客様の情報が表示される事象が生じた可能性がございます。(追加で確認された場合は、速やかにお客様にご報告申し上げます。)
ここにご報告させていただきますとともに、深くお詫び申し上げます。
<事象>
2018年5月8日のシステムメンテナンスにより、2018年5月8日17時00分〜2018年5月9日13時30分まで、マイページ内の情報がご本人様以外のお客様にも閲覧できた可能性がございました。
当該事象の発生を認識した後、直ちに緊急メンテナンスを実施し、現在は、当該事象は解消しております。
本件はID・パスワードの漏洩や不正アクセス等により発生したものではなく、情報漏洩、データ改竄は確認されておりません。
また、これまでのところ、お客様の個人情報が不正利用された事実も確認されておりません。
詳細につきましては、以下のURLから併せてご確認いただければと存じます。
https://crowdcredit.jp/info/detail/241
今後このような事態が起きることのないよう、細心の注意を払いますとともに、より一層の社員教育の徹底、技術力の向上、情報セキュリティ体制の強化を図って参ります。
このたびは、皆様に多大なるご迷惑、ご心配をおかけしてしまいましたこと、重ねて深くお詫び申し上げます。
2018年5月24日
クラウドクレジット株式会社
代表取締役 杉山 智行
また、クラウドクレジットのサイトのお知らせでも告知しています。
どうやら私の個人情報の一部がクラウドクレジットのサイト内で第3者に見られていた形跡があるよとのことらしい・・・。
閲覧されてしまったであろう情報は
-
- 運用中のファンドの期待将来キャッシュフロー
- 元本・期待分配総額
- 購入されたファンド情報
- ファンドの運用状況、
- 振込先口座
- 投資申込中金額
- 追加投資可能金額
- 取引残高報告書
- 年間損益報告書
- 払戻可能金額
- 同意および確認事項
- 投資適合性確認事項
- 預託金に関する同意事項
実際に見たと言っている方は3人程度で、当日にアクセスがあったマイページへのログイン数は2088件
見られてしまう確率は0.14%で、実際に実験して見られてしまう回数は5000回中4件、確率的に0.08%
このことから悪意を持って見た、のではなく、偶然たまたま見てしまった。との事ですので、しかも、見てしまった個人情報がこの程度なので、そんなに深刻な状況ではないようです。
てっきり、不正アクセスがあったのかと思った。
個人情報が閲覧状態になった原因は?
クラウドクレジットはテレビ等での露出が頻繁になってきて人気化しています。
そのためアクセス増加を解消するために行ったサーバー増強に端を発し、クラウドクレジット側が行った社員の人為的ミスだった。
クラウドクレジットの謝罪のあり方が神対応。
- 閲覧されてしまった人、投資家3名に直接電話でお詫びした。
- 理論上、意図しないファンドの購入指示がなされる場合があるので、申込みがあった99名に対して、電話または訪問にて確認とお詫びをいれた。
- 個人情報が閲覧された可能性がある人は私みたいにメールでお詫びをした。
ここまで徹底的にお詫びをしているのが、清々しいし、好感持てますね。
それはいくらなんでもやらないでしょ
再発防止策は?
クラウドクレジットの再発防止策
現時点ではキャッシュサーバーを使用しない構成に戻している。
今後はサーバー納入業者からレクチャーを受け、再発防止に努める。
今年7月にサーバー増強やるので専任担当者を新たに加える予定。
謝罪の対応の仕方はよしとするが、ここまでセキュリティーの意識が低かったとしか言いようがありません。
社員の操作方法の不手際による設定値ミス=サーバー納入業者から操作説明を受けていなかったのか?
そもそも専門の人間がいなかったのも問題ですね。
セキュリティーの向上は企業にとって責務です。
個人情報保護が叫ばれるようになって昨今、個人情報漏洩、セキュリティー防止は企業にとってもっとも意識しなければならない事案です。
過去の事例から言っても一度漏洩してしまうとその影響は広範囲になります。
多額のお金を扱うIoTでのソーシャルレンディングだからこそ、クラウドクレジットもこれで満足せず、顧客の目線に立って情報の扱いを厳にしセキュリティー対策をしてほしいものです。
