ニュース 2021.10.06 アプラスと新生銀行、業務委託先に誤って個人情報を含んだデータを提供

渡されたデータが委託先以外に流出した事実はなく、委託先でのデータ削除も完了しているという。

二次流出が起こる可能性は低いが、不安な場合は、IDやパスワードの変更ができる旨を対象者に案内している。

当該事案は、親会社の新生銀行からマーケティング業務の委託先2社に対し、アクセス解析用として渡したデータのなかに誤って、会員サイトの個人情報が含まれていたもの。2017年8月25日以降に、スマートフォンから会員サイト「NETstation APLUS」にログインした人が対象となる。

今回対象となったIDやパスワードを第三者が利用した場合、会員情報の確認や変更はできるものの、サービスそのものを利用するには更なる認証が必要になるため、悪用されるリスクは低いことが分かっている。

ただし、請求額の閲覧、支払い方法の変更などは、IDとパスワードだけでも操作が可能だ。

多くの組織で、マーケティング解析や経理業務のような専門領域を外部に委託するケースは増えている。膨大なデータを一括して渡す場合には、機密情報が紛れてしまう可能性もゼロではないだろう。

こうした万が一の事案が発生した際にも、想定外で慌てる事態とならないよう、機密情報の扱い方、緊急事案が発生した際のエスカレーションルール、危機に備えた体制の整備など、いつでもスムーズに対応できる体制を整えておくことが大切だ。

日頃から体制が整っていることで状況把握はスムーズになり、被害も最小限に抑えることが可能といえる。

【関連リンク】

・委託した解析用データに一部会員の「パスワード」 - アプラス（Security NEXT）
https://www.security-next.com/130036

TEXT：セキュリティ通信 編集部
PHOTO：iStock