弊社テーマパーク年間パスポートのお客様情報流出の可能性につきましては、その認知以来、お客様の詐欺被害拡大防止を最優先に、速やかに当局へ被害届を提出するとともに、本年1月4日に公表をいたしました。同時に、弊社代表取締役社長加賀見俊夫を委員長とする調査委員会を設置し、原因究明のための調査を進めてまいりました。その調査結果ならびに再発防止策等につきご報告いたします。
 

1. 調査内容および調査結果
 

 [1]名簿業者に当該リストと思われるものが存在していたことに関する調査
 

< 調査結果 >
当該リストのサンプルデータを入手し、当社が保有しているデータと照合した結果、リストの内容が合致していたことから、当社保有のデータが流出したことは確実と判断いたしました。
 

< リストから判断した流出した個人情報の概要 >
 

a. 流出の範囲
  121,607名(平成12年10月~平成16年12月/推定)
b. 流出した個人情報の内容
  氏名、住所、電話番号、生年月日、性別、有効期限、年間パスポート番号
c. 流出した時期
  不明
 

この結果を受け、以下の調査を実施いたしました。

 [2]社内システム上の年間パスポート顧客情報に関する調査

 (1)社外インターネットからのハッキングの可能性について
 

< 調査結果 >
当該データ格納場所(サーバー)は社内ネットワークであり、外部(インターネット)から直接アクセスし、データを抜き取ることは不可能であることを再確認いたしました。
 

 (2)社内ネットワークからの抜き取りの可能性について
 

< 調査結果 >
当該データ格納場所(サーバー)にアクセスすることができるのは、所管部署の作業担当者およびシステムの保守・管理に関わる作業担当者であり、これらの者がデータを抜き出すことは物理的に可能でした。
 

 (3)パスポート作成窓口での抜き取りの可能性について
 

< 調査結果 >
作業現場の管理体制(ビデオモニター監視、単独作業の禁止など)より、パスポート作成窓口でのデータ抜き取りは、極めて可能性が低いことを再確認いたしました。
 

 (4)上記以外による流出の可能性について
 

< 調査結果 >
年間パスポート保持ゲストに向けたダイレクトメールの発送等については、外部業者に委託(必要範囲のデータ提供)することから、これが流出した可能性も考えられました。
 

以上、流出ルートの可能性に関する実態調査を元に、その可能性が残った(2)、(4)のルートについて、以下の追跡調査を実施いたしました。
 

 [3]データ管理体制に関わる業務フローと関係者への調査
 

  • 社内の年間パスポート顧客情報に携わる部門への業務フローに関する再調査(営業本部、運営本部、IT推進部の3部門)
  • 当該データを所管する部署の担当者および管理職への調査
  • システムの保守・管理に関わる作業担当者への調査
  • 年間パスポート顧客情報に携わる委託業者への調査
     

< 調査結果 >
以上、聞き取り調査を中心に、弊社ででき得る限りの調査を実施してまいりましたが、社内ネットワークのログ情報不足などから、最終的に情報の流出元について特定するには至りませんでした。
 

< 調査の結論 >当該個人情報が当社から流出した事実は認定できましたが、流出させた者(だれが)、流出経緯(どこから、どのように)を、最終的に特定するには至りませんでした。なお、これ以上の追跡調査を行なうことは困難と判断し、まことに遺憾ながら、本件に関する社内調査を、この段階で終了させることといたしました。
 

2. 再発防止策について
 

< 方針・組織 >
 

  • OLCグループにおける情報資産および情報システムの適切な保護・管理を目的に「情報セキュリティ管理委員会」を3月1日に設置
  • OLCグループすべての役職員が情報の取扱いに関して取るべき行動、およびOLCグループ各社が情報資産の管理のために行うべき対応等につき具体的に定めた「OLCグループ情報セキュリティポリシー」を制定(3月下旬)
     

※弊社では、個人情報保護法の施行に向けた同法の説明会を全社員向けに実施しているほか、「個人情報保護管理規程」を1月1日制定し、弊社ならびにグループ会社の管理職を通じ、全従業員を対象に説明を行ない、周知徹底を図りました。今後も個人情報保護に関する意識を高めるべく、全従業員を対象とした啓蒙活動を適宜実施し、再発防止に努めます。
 

< 技術・システム >
 

  • 社内ネットワークの情報システムにアクセスできるパソコン(約4000台)、ならびに同システムの個人情報を扱うサーバ-の監視機能を強化し、アクセスログや操作ログなどの情報が取得できる機能を導入し、当該情報を保存(3月末導入完了予定)
  • 社内ネットワークの個人情報を扱うサーバーにおいては、その保守・管理を行なうシステム作業担当者のアクセス可能な作業領域を最小必要範囲に限定(3月末導入完了予定)
     

< 施設・環境 >
 

  • セキュリティゲートにおける入退出時の持ち物検査の強化
  • 当社敷地内への通行許可に関する発行審査をより厳格なものへ変更
     

3. ゲストの皆さまへのお詫びについて
 

今回、流出したリストの対象となった121,607名の皆さまへは、調査報告を含めたお詫びの書面を発送いたします。また、お詫びの気持ちとして、500円相当の金券類を送付させていただきます。(金券類の発送時期に関しましては、作業の関係上、4月初旬を予定しております)
 

4. 社内処分について
 

今回の件に関し、管理業務の不備に対する責任として、以下の社内処分を行います。
    代表取締役社長 加賀見 俊夫  月額報酬10%減額を3ヶ月
その他、本件に管理責任のある役職員の報酬減額・減給などの懲戒を厳正に行ってまいります。
 

今回、121,607名という多数の方々の個人情報が流出するという事態を引き起こしましたことについて、該当ゲストの皆さまに多大なご迷惑とご不快の念をおかけしましたことを深くお詫び申し上げます。合わせまして、ゲストの皆さまから貴重な情報、ご意見をいただきましたことに関しまして感謝申し上げます。弊社は、今回の反省をもとに、保有するお客さま情報が流出するようなことを二度と起こさないことが、皆さまからの信頼を回復する唯一の方法であると考えております。今回の再発防止策にとどまることなく、今後とも、個人情報の保護に関する意識の向上とセキュリティ対策の強化を継続的に図りながら、信頼していただける企業となるよう最大限の努力を尽くしてまいります。

以 上
 

< 本件に関するゲストの皆さまからのお問い合わせ先 >
 

東京ディズニーリゾート・ゲストご相談室特別窓口
 

     開設日: 3月16日~3月28日
    受付時間: 9:00~22:00
    電話番号: 0120-996-055(携帯電話も可)
 

※3月29日以降は、東京ディズニーリゾート・ゲストご相談室
(電話番号:047-310-0733)にてお受けいたします