ファーストリテイリングは2024年7月2日、同社の情報システムにおいて、個人情報の取り扱いに不備があったと、公式サイトで謝罪した。同社および個人情報の取り扱いを委託していない一部の委託先の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったという。
-
実際の謝罪文の一部(ファーストリテイリング公式サイトより)
個人情報の持ち出しや第三者のアクセスはない
ファーストリテイリングによれば、24年1月に問題が発覚。同社担当部署の従業員が確認し、情報システムへのアクセスを迅速に遮断。個人情報保護委員会に報告し、情報システムに個人情報が含まれていることを検知・隔離する仕組みと運用を整備したという。
23年6月~24年1月まで、同社グループの複数のサービスで、一部の顧客の個人情報が情報システムに保存される設定になっていた。本来、個人情報を保存するための仕組みではないが、個人情報の取り扱いを委託していない一部の委託先についても、情報システムに保存された個人情報の閲覧が可能な状態だったと説明している。
情報システムは、許可された同社および委託先事業者の担当従業員のみがアクセスでき、それ以外の第三者のアクセスは制限されている。この制限が有効に機能していること、情報システムにアクセスできる者による個人情報の持ち出しや第三者によるアクセスがないことを確認したと、ファーストリテイリングは述べた。
問題が起こった原因は、「情報システムの開発段階における仕様の確認、およびその運用段階におけるモニタリングが不十分であった」と説明。
今後の方針について、業務上不要な個人情報の取り扱いが発生しないことを確認するための手続を改めて整備し、問題発生時に迅速な検知と是正をすることを含めた運用を徹底する、と示している。