ビバリーグレンラボラトリーズ株式会社

1. 経緯
2021年6月10日、一部のクレジットカード会社から、弊社サイトを利用したお客様のクレジットカード情報の流出懸念についての連絡がありました。
弊社はお客様のクレジットカード情報を弊社内に保持しない仕組みを採用しており、本件の状況の把握と全容解明に向け直ちに社内調査を進めるとともに、
第三者調査機関による調査も開始いたしました。
 2021年6月22日、流出の原因が特定できていない中、お客様の利便性とシステムの安全性の双方を考慮し、弊社サイトの新規クレジットカード決済機能を
停止いたしました。
 2021年6月24日、流出のおそれがある不正プログラムの存在を特定し、直ちに除去しました。また、流出のおそれがあった旧サーバーを停止しました。
 2021年11月22日、調査機関による調査が完了し、2020年12月5日~2021年6月24日の期間に「ビーグレンHP」で購入されたお客様の
クレジットカード情報が流出し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
 以上の事実が確認できたため、本日の公表に至りました。
2. 個人情報流出状況
(1)原因
 弊社が運営する「ビーグレンHP」は、外部のECプラットフォームおよび決済代行会社を利用しているため、
お客様のクレジットカード情報は弊社内で保持しておりません。
 今回、「ビーグレンHP」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、弊社サイトをご利用するお客様が個人情報を
入力した際にそれを取得し、外部に送信するプログラムが不正に配置されていたことが確認されました。
(2)クレジットカード情報流出の可能性があるお客様
 2020年12月5日~2021年6月24日の期間中に「ビーグレンHP」においてクレジットカード情報を新規に入力されたお客様46,702名で、
流出した可能性のある情報は以下の通りです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する46,702名のお客様については、別途電子メールまたは書状にて個別にご連絡申し上げます。
3. お客様へのお願い
すでに弊社では、クレジットカード会社と連携し、流出した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、
不正利用の防止に努めております。お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
 なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、
弊社よりクレジットカード会社に依頼しております。
4. 公表が遅れた経緯について
 2021年6月10日の流出懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
 本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、クレジットカード会社と協議し、不確定な情報の公開は却って混乱を招き、お客様に充分な対応が出来ず、さらにご迷惑をお掛けすることが懸念されたため、お客様へのご迷惑を最小限に留める対応準備を整えてからの告知が不可欠であると判断し、クレジットカード会社と連携しての被害状況の把握、第三者調査会社による原因の確定、およびお客様のご質問等に必要十分に対応できるカスタマーサポート体制の構築完了を経て、本日の発表に至ったものでございます。
 今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5. 再発防止策ならびに弊社サイトの運営について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
情報流出の原因となった不正プログラムについては、2021年6月24日に除去が完了し、また「ビーグレンHP」のシステムの刷新を行っており、
それ以後情報流出は確認されておりません。なお、弊社「ビーグレンHP」におけるクレジットカード決済の再開につきましては、
クレジットカード会社と協議の末、決定次第、弊社サイト上にてご案内いたします。
 また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2021年12月27日に報告しております。
加えて、管轄の警察署にも2021年11月12日に被害の届け出をしており、今後捜査にも全面的に協力してまいります。

引用
https://www.bglen.net/notice/security