外部からアクセス可能となっていた情報は、顧客の氏名、住所、電話番号、メールアドレス、生年月日、性別、購入履歴、問い合わせ内容、職業、婚姻歴。対象となる人数は最大で4万2400人。また、同社の従業員の氏名と顔写真も外部からアクセス可能となっていた。人数は最大で75人に上る。
外部からアクセス可能だった期間は最長で2023年8月2日から24年5月15日までの約9か月間にわたる。この状態が発覚したのは5月15日で、社外の取引先からの指摘で発覚した。現在はポータルサイトの非公開設定を行うとともに、ポータルサイトに紐づく関連システムのパスワードを変更する措置を実施したという。不正アクセスが原因ではなく、現時点では外部からアクセスされた形跡は見つかっていないという。また個人情報保護委員会への報告は済ませている。
「シンゾーン」の広報担当者は、「現在、全社を挙げて原因究明に努めるとともに、個人情報を取り扱う上での管理体制の一層の強化を含む再発防止策について真摯に検討を重ねている」とし、「お客さまに安心してご利用いただけるよう、速やかに適切な対策を講じていく」とコメントしている。
個人情報保護法に詳しい日置巴美弁護士は、「これを機に改めて法令順守や再発防止策をしっかり検討していく必要があるだろう。また、職業や婚姻歴など、必ずしも必要とはいえない情報は、可能な限り取得しないことで自衛できることもある」と指摘する。また、「現時点の公表内容では対象となった顧客や従業員の不安は払しょくできないだろう。今回のインシデントが発生した理由や、どんな範囲・状況で、どの態様で情報が公開されていたのかといった詳細が分かり次第明らかにして、対象者がリスクを判断できるようにするなど、対象者のケアを行うことが重要なのでは。また、強固なセキュリティを有するシステムであっても、人為的なミスでインシデントが発生することもある。ワークフローの見直しや、担当者の継続的な教育も重要だ」とコメントする。
