資生堂は2016年12月2日、子会社の「イプサ」が運営する「イプサ公式オンラインショップ」から、最大42万1313人分の個人情報と5万6121件のクレジットカード情報が流出した可能性があると発表した。資生堂は「システム上の脆弱性を突かれ不正アクセスを受けた」としている。

[画像のクリックで拡大表示]
資生堂子会社「イプサ」のWebサイト。同社の公式オンラインショップが不正アクセスを受け、個人情報が流出した可能性がある

 流出の可能性がある個人情報は、氏名、性別、生年月日、年齢、職業、電話番号、メールアドレス、住所、ログインパスワード、購入履歴。同サイトに登録している全ての会員データに流出の可能性がある。このうち、2011年12月14日~2016年11月4日に同サイトでクレジット決済で商品を購入した会員については、上記の他にカード番号、名義、住所、有効期限も流出した可能性がある。

 2016年11月4日に決済代行会社から「クレジットカード情報が流出しているのでは」との連絡を受けたことで発覚。同日に同サイトのクレジット決済機能を停止したうえで、第三者機関への調査依頼や警察・経済産業省などへの報告を順次行ったとしている。対象者に対しては、12月2日から電子メールと郵送で連絡を開始。同日付で電話相談窓口(0120-62-9020)も開設した。「本件対応でクレジットカードを再発行する場合、手数料はイプサが負担する」(資生堂)としている。

 同サイトは現在サービスを停止中で、イプサ製品を扱う他の通販サイトの利用を呼びかけている。資生堂は「同サイトはグループの他の通販サイトと完全に分離したシステムで運営しており、資生堂グループのサイトは(個人情報流出の)対象ではない」としている。