エイチ・アイ・エス(HIS)は2017年8月22日、首都圏を出発地とする国内バスツアーの予約サイトで旅行を申し込んだ顧客の個人情報が外部からのアクセスにより流出したと発表した。流出した情報にクレジットカード番号や金融機関の口座情報は含まれていないという。

情報漏洩が判明したHISの予約サイト
(出所:HIS)
[画像のクリックで拡大表示]

 2017年3月18日16時3分~2017年7月27日17時30分になされた予約のうち、2017年8月1日~2017年12月31日に首都圏を出発する国内バスツアーを選んだ顧客の個人情報が流出した。予約代表者の氏名、性別、年齢、メールアドレス、住所、電話番号などが最大4566人分、同行者の情報は同7017人分が流出した。

 流出は2017年8月17日に判明。同社はセキュリティに関する情報収集を社外の専門家に依頼しており、外部のWebサイトにおいて予約サイトの情報流出を示唆する記述があったと報告を受けた。これを元に社内調査を実施したところ、外部から顧客の個人情報を含む圧縮ファイルをダウンロードした形跡が見つかった。

 同社は予約サイトをリニューアルする作業に原因があったと見ている。旧サイトから顧客の予約データを移行する際、誤って公開領域に同データを残したという。同社は情報が流出した顧客に対して電子メールによる周知を実施済み。運営する他のオンライン予約サイトには影響がないという。