日本航空は1月21日、2014年9月に発覚した顧客情報システムへの不正アクセスによるJALマイレージバンク(JMB)会員の顧客情報漏えい事件について、最終報告を発表した。
JMB会員4131人の顧客情報の漏えいが確定、クレジットカード番号、JMBのパスワードの漏えいはなかった。一時停止していた特典交換などのマイレージプログラムは通常通り利用可能とした。
4131人の顧客情報は「会員番号」「入会年月日」「名前」「生年月日」「性別」「自宅(日本国内の郵便番号、住所、電話番号、FAX番号」「勤務先(会社名、所属部門名、役職、日本国内の郵便番号、住所・電話番号<内線>)」「メールアドレス(PC、携帯)」の項目が漏えいした。
外部セキュリティ専門会社と連携した調査により、これまで報告があった範囲以上に情報漏えいした事実はないとしている。顧客情報を外部サーバに送信した業務端末は3台であり、実際に送信された件数は4131人の情報とした。
JALは「情報セキュリティに関しましては、これまでも最重要課題として取り組んでまいりましたが、今回一部のお客さま情報が漏えいしたことについては大変遺憾であります。今後、より一層の情報管理の強化、システム運用の見直しなど、セキュリティ強化に努めてまいります」とコメントしている。
情報セキュリティガバナンスや社内不正対策に詳しいディアイティの河野省二氏は「報告書は再発防止策の記載があるものの、事故の原因に即したものではない。今回の件を踏まえて、一から対象範囲外のアセスメントも行い、組織全体のセキュリティとガバナンスの構築が望まれる」とコメントしている。