こんにちわ。カインド動物病院の原です。

 

今朝ロイヤルカナンジャポンより通達がありました。

これはロイヤルカナン ベッツホームデリバリー(VHD)ご利用いただいているお客様向けのお知らせとなります。

以下、転載いたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

個人情報漏えいに関するご報告とお詫び

 

登録動物病院各位

 

平素はロイヤルカナン ベテリナリーダイエットに格別のご高配を賜り厚くお礼申し上げます。

 

このたび、ロイヤルカナン ベテリナリーダイエット製品購入サイト「ロイヤルカナン ベッツホームデリバリー(VHD)」（以下「本サイト」といいます。）において管理されているペットオーナー様の個人情報が、一部の登録動物病院に漏えいしたことが判明いたしました。

 

本メールは情報漏えいの対象となられましたペットオーナー様に紐づく全ての登録動物病院様にお送りしております。

このような事態を招き、皆様に多大なるご心配とご迷惑をおかけすることとなり、心よりお詫び申し上げます。

詳細につきまして以下の通りご報告いたします。

なおこれまでに、個人情報の漏えいによる被害発生の報告はございません。

 

１．本件の概要

事象①：2023年5月24日13時30分頃から同月25日12時58分頃までの間、本サイトの登録動物病院向け管理画面（以下「管理画面」といいます。）において、登録動物病院が、他の登録動物病院に紐づいたペットオーナー様の購入履歴に関するデータがダウンロードできる状況となっていたことが判明いたしました。

 

事象②：2023年5月24日13時30分頃から同月31日11時40分頃までの間、管理画面において、登録動物病院が、他の登録動物病院に紐づいたペットオーナー様の保有ポイントに関するデータがダウンロードできる状況となっていたことが判明いたしました。

 

上記状況が判明した後、その原因が誤ったアクセス権限の設定にあることを確認し、直ちに設定の修正を完了したため、現在、自院以外の登録動物病院に紐づいたペットオーナー様に関するデータをダウンロードすることはできなくなっています。

 

２．漏えいした個人データ

事象①：77,709名のペットオーナー様の購入履歴に関する以下のデータ：

「氏名」、「注文ID」、「注文種別」、「注文日時」、「出荷日」、「キャンセル日」、「顧客番号」、「動物病院ID」、「動物病院名」、「支払方法」、「明細小計」、「配送料」、「注文金額合計」、「クーポン利用」、「ポイント利用」、「請求金額合計」

 

事象②：77,117名のペットオーナー様の保有ポイントに関する以下のデータ：

「氏名」、「フリガナ」、「顧客ID」、「保有ポイント数」

 

事象①、②のいずれにおいても、生年月日、性別、住所、電話番号、メールアドレス、本サイトのパスワードおよびクレジットカード情報は、漏えいしたデータに含まれていません。

 

３．経緯

本サイトにおいて、ペットオーナー様が、登録動物病院で推奨された弊社の療法食製品（以下「本製品」といいます。）を購入した際に、登録動物病院は、自院が本製品の推奨を行った当該ペットオーナー様と紐づけられ、当該ペットオーナー様の購入履歴等を管理画面で確認することになっています。他方で、登録動物病院は、通常、他の登録動物病院に紐づいたペットオーナー様の購入履歴等を管理画面で確認することはできません。

 

しかし、2023年5月25日、登録動物病院様より本サイトのコールセンターに対して、他の登録動物病院に紐づいたペットオーナー様の購入履歴に関するデータをダウンロードできたとの連絡があり、弊社の委託先として本サイトの保守管理を担当している業者（以下「委託先」といいます。）において確認した結果、当該データの漏えいが判明しました（事象①）。

 

また、同月31日、事象①の発覚を受けて、委託先および弊社担当者が本サイトにおける全てのアクセス権限の確認作業を行っていた際に、管理画面において、登録動物病院が他の登録動物病院に紐づいたペットオーナー様の保有ポイントに関するデータをダウンロードできる状態となっていたことが判明しました（事象②）。

 

４．原因

事象①、②のいずれも、2023年5月24日に実施した管理画面への追加機能のリリース時に、委託先が誤ったアクセス権限付与を行ったために発生しました。

 

５．データ漏えい判明後の対応

2023年5月25日12時58分頃、事象①にかかるアクセス権限の誤設定の修正を完了しており、同時刻以降は、他の登録動物病院に紐づいたペットオーナー様の購入履歴に関するデータをダウンロードすることはできなくなっています。

 

また、同月31日11時40分頃、事象②にかかるアクセス権限の誤設定の修正を完了しており、同時刻以降は、他の登録動物病院に紐づいたペットオーナー様の保有ポイントに関するデータをダウンロードすることはできなくなっています。

 

なお、事象①について、ペットオーナー様の購入履歴に関するデータをダウンロードした可能性のある登録動物病院が3軒であることを確認及び特定し、いずれもデータが削除されていること、残っていないことを確認いたしました。また、事象②において、ペットオーナー様の保有ポイントに関するデータをダウンロードした可能性のある登録動物病院が15軒であることを確認し、現在、データの削除に向け対応を進めております。

 

６．二次被害のおそれの有無

上記のとおり、漏えいした個人データには本サイトのパスワードは含まれていないため、第三者が当該情報を用いて本サイトにログインすることはできません。また、ペットオーナー様の氏名と病院IDを利用して新たなアカウントを作成しても、既に入力されている支払情報とは結びつかないため、漏えいした個人データの本人であるペットオーナー様になりすまして本サイトの購入手続きに進むことはできない仕組みとなっております。以上から、二次被害のおそれは極めて低いと判断しております。

 

７．再発防止策

弊社では、これまでもグローバルで一貫した情報管理ポリシーのもと、委託先リスクマネジメント手順に基づいて、委託先会社のセキュリティポリシー、開発環境のセキュリティレベル、アクセス制御状況、管理体制などの評価を行い、そのうえで必要な是正処置を行い開発ベンダー管理・運用を進めてまいりました。

本件の原因を再検証した結果、今後は、追加機能のリリースにおけるプロセス定義を見直し、リリース前の動作確認を徹底いたします。

 

弊社は、これまでも個人情報の適切な取扱いに努めてまいりましたが、本件の発生を厳粛に受け止め、個人情報の管理体制を見直すとともに委託先の管理・監督を再徹底してまいります。

 

 

【本件に関するお問い合わせ先】

ロイヤルカナン VHD臨時お問合せ窓口

電話番号：0120-185-121（受付時間：平日　9:00 – 18:00 ＊6月は土・日曜日もご利用いただけます。）

メール：vhdjapanscc@royalcanin.com

 

 

◆◆━━━━━━━━━━━━━━━━━

 

発行：ロイヤルカナン ジャポン

 

■ロイヤルカナン ベッツホームデリバリー

https://vet.royalcanin.jp/

 

■メールの配信停止を希望される場合は、下記URLよりお手続きをお願い致します。

https://forms.office.com/Pages/ResponsePage.aspx

 

※このメールは送信専用のアドレスから送信しております。本メールにご返信いただいてもお答えできませんのであらかじめご了承ください。

 

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

とのことでした。ご利用いただいている患者様におかれましてはご注意いただきますよう願います。

ご迷惑おかけしますが、よろしくお願いいたします。