ＪＩＭＯＳ／カード情報１０万件流出／非保持・非通過順守も脆弱性つかれ

　化粧品の通販・ＥＣを展開するＪＩＭＯＳ（ジモス、本社福岡県、小林貴之社長）は１０月１５日、同社が運営する複数のＥＣサイトに登録された、顧客のクレジットカード情報１０万７６６１件が、流出した可能性があると発表した。ジモスの親会社のナックによると、ジモスが運営する各ＥＣサイトは、顧客のクレジットカード情報の「非保持・非通過」を順守していたが、システムの脆弱性をつかれ、流出したとしている。
　同社は８月２２日、顧客情報が流出した可能性があると、ＥＣサイト上で公表。ＥＣサイトの利用を停止していた。ジモスは情報流出について、カード会社と協議し、個人情報保護委員会に報告済みだとしている。
　カード情報の非保持・非通過を順守していたジモスで、なぜカード情報の流出が発生してしまったかについて、親会社のナックは、「機密事項であり、原因を公表することが、他のＥＣ事業者の不正アクセスのリスクを高める可能性がある」として、明らかにしていない。
　１８年６月に施行された改正割賦販売法では、クレジットカードの加盟店に対して、カード情報のセキュリティー保護義務を課している。割賦販売法のガイドラインでは、「顧客のカード情報を保有しないこと」「カード情報を自社のシステムを通過させないこと」を規定している。
　割販法では、顧客情報が流出してしまった場合の罰則などは設けていない。ただ、カードブランドや決済代行会社が、加盟店から排除する可能性はある。
　ジモスは７月２６日、顧客のクレジットカード情報の流出の可能性を確認した。
　流出した可能性があるのは、１４年１月１日から１９年７月２６日までの間に、「マキアレイベル」「Ｃｏｙｏｒｉ」「代謝生活クラブ」のＥＣサイトでクレジットカードを使って購入した顧客の情報。１４年４月１日から１６年３月３０日までの間、同社が運営していた「酒蔵．ｃｏｍ」で購入した顧客の情報も流出した可能性があるとしている。カード会社によると、流出した一部のカード情報が不正利用された可能性があるという。
　流出した情報は、顧客のクレジットカードの会員名やカード番号、セキュリティーコードなど、クレジットカードに関連した情報。配送先情報や年齢といった、カード以外の情報は流出していないとしている。流出した情報のうち、何件の不正アクセスがあったかについては明らかにしていない。
　ジモスでは、不正利用が確認された顧客から問い合わせがあった場合、個別に対応しているとしている。
　ジモスの小林社長は、「問題は真摯（しんし）に受け止めている。カード情報が流出した可能性のあるお客さまのカード再発行依頼などを、早急に進めていく」と話している。