メニコンは5月17日、子会社のダブリュ・アイ・システムが運営する会員専用サイト「A-Web 倶楽部」からクレジットカード情報などが漏えいしたと発表した。2日時点で既に27人が不正使用の被害に遭い、約668万円の被害が発生していることを明らかにした。
同社によると、漏えいした情報はA-Web 倶楽部の「宅配サービス」でクレジットカード決済を行った顧客の3412件のクレジットカード情報(会員名、番号、有効期限)になる。原因はウェブアプリケーションの脆弱性を利用した外部から不正アクセスだったという。
ダブリュ・アイ・システムでは、店舗決済やA-Web 倶楽部の「定額制コンタクト 3C プラン」サービスについて影響しないと説明。メニコングループの他のサイトもA-Web倶楽部とは完全に独立しており、対象ではないとしている。
不正アクセスによる影響の有無(出典:ダブリュ・アイ・システム)
漏えいは3月27日に、カード会社から決済代行会社を通じて通知され、同社はA-Web倶楽部の利用を停止し、対策本部の設置と第三者機関へ調査依頼を行った。併せてクレジットカード会社による不正利用の監視を行い、5月2日に第三者機関から調査報告を受けたという。既に所轄の警察署や所轄官庁、認定個人情報保護団体の日本情報経済社会推進協会(JIPDEC)にも届け出を行った。
漏えい元のダブリュ・アイ・システムはコンタクトレンズの販売事業を手がけ、東日本地域を中心に77店舗の「エースコンタクト」を展開する。A-Web倶楽部は、必要な対応を経て安全性が確認され次第再開することを想定しているという。
