新生銀行と新生ファイナンシャルが、複数の業務委託先に、カードローンサービスの顧客情報を誤って一部提供していたことが発覚しました。
中には、顧客のメールアドレスが約8000件含まれる他、カードの暗証番号など口座情報一式を提供していた事例も37件あったようです。
27日時点では、業務委託先からさらに流出した形跡はなく、不正利用も確認されていないとしています。
誤って提供したメールアドレスは、メール配信停止ページで手続きをした「新生銀行カードローンエル」会員の6293件と「レイク ALSA」会員の2108件だそうです。
また、これとは別に、レイク ALSAのWeb契約手続きページで入力を受けた口座情報一式(金融機関名、支店名、預金種別、口座番号、口座名義人、カード暗証番号、メールアドレス)37件と、カード暗証番号とメールアドレスのセット54件を外部に提供していたようです。
レイク ALSA会員のカードローンのカード番号とカード暗証番号、生年月日を提供していた事例も2件あったようです。
Web解析や広告媒体事業に関して、データを提供する際に、これらの情報が誤って含まれてしまったとしています。
現状では、委託先からの流出はないものの、仮に二次流出があればメールアドレスには、標的型攻撃メールなどが送られる可能性がある他、暗証番号を含む口座情報からは、不正出金が行われる可能性もあるそうです。
メールアドレスのみの流出原因は、メール配信停止ページのURLにユーザーのメールアドレスが付与される仕様になっていて、委託先から見える仕様だったことが原因のようです。
レイク ALSA会員の口座情報は、本来は、契約手続きページのURLのみを委託先に提供するべきなのに、ユーザーが送信ボタンを押さずにエンターキーなどから送信を実行したときに、入力情報が提供されるシステムだったようです。
カード番号と暗証番号などのセット2件のみの事例については、原因が特定できてようです。
新生銀行グループでは、傘下のアプラスでも業務委託先に、アプラスWebサービス会員のIDやパスワード47万5813人分を誤って提供していたことが9月3日に判明しています。
この件を調べるために、調査を行ったところ、今回の事態が発覚したということです。
新生銀行は、事態が発覚した時点で対象の業務委託先へのデータ提供を停止していて、対象の顧客には、今後、別途連絡をするそうです。
新生銀行が顧客情報を委託先に誤って提供したことへのネットでの反応
馬鹿じゃねぇの
賠償しろ!
み○ほに電話したら数十分後にローン会社から電話来たわ
みずほはすっとぼけてたけど数日前に番号変えて親戚数人しか知らない番号なのに
個人情報保護法違反なので国民生活センター経由で
金融庁に連絡しないとな
他にもやらかしとったんか、こらあかんな
金融機関ならデータの取扱い時に色んなとこにお伺い立てて承認貰わないとデータ提供できないはずなのに
新生銀行のシステムは、暗証番号をテキストで保存しているのか?
原因分からないで終わりかw
引用元: ・【新生銀行】カードローンの顧客情報を委託先に誤提供 メアド8000件超、暗証番号含む口座情報一式37件、カード番号・暗証番号も2件流出 [香味焙煎★]