ジェイティービー(JTB)は14日、不正アクセスにより、グループ会社から個人情報が一部流出した可能性があることを発表した。約793万人分の個人情報が含まれた不審なファイルの作成・削除が確認されたという。
インターネット販売を主とする「i.JTB」社(アイドットジェイティービー)のサーバーが、外部からの不正アクセスを受けたとのこと。現時点で、明確な流出の確認、悪用被害などの報告はないとのこと。
3月15日に、取引先を装ったメールの添付ファイルを開いたことにより、ウイルスに感染。3月19日~24日に、個人情報を保有していないサーバーにおいて、内部から外部への不審な通信が複数確認された。調査を行った結果、サーバー内に「外部からの不正侵入者が3月21日に作成・削除したデータファイル」があったことが、4月1日に確認された。このファイルを復元したところ、5月13日に、個人情報が含まれることが確認されたという。最終的に、復元したデータファイルには、約793万人分の個人情報が含まれていた。
復元したデータファイルに含まれていた個人情報は、氏名、性別、生年月日、メールアドレス、住所、パスポート番号・パスポート取得日(現在も有効なものは約4,300件)など。クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていなかった。「JTBホームページ」「るるぶトラベル」「JAPANiCAN」のオンライン予約を行ったユーザー、提携サイトでJTB商品を予約したユーザーが対象となる。
同社では警察に相談するとともに、ユーザーに対し、順次メールにて連絡中とのこと。今後は「特定された外部への不審な通信の遮断」「感染範囲の特定とウイルスの駆除」「個人情報へのアクセス制御の強化」を行うとともに、ITセキュリティ専任統括部門の設置、実践的なITセキュリティ教育の実施などを行うとしている。
