不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ(Apology and Notice Regarding Potential Data Leakage of Personal Information Due to Unauthorized Access)
2024.04.24
企業情報 この度、株式会社セガ フェイブ Toysカンパニー(以下、当社)が利用するメールシステムの一部のアカウントが外部からの不正アクセスを受け、当社ならびに当社グループ会社において管理している個人情報が外部に漏えいした可能性があることが判明いたしました。そのため本日時点で判明している内容につき、お知らせいたします。
なお、漏えいの可能性がある個人情報にクレジットカード情報は含まれておりません。また、現時点において本件に関わる個人情報の不正利用等は確認されておりません。
お客様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
本件の経緯
2024年4月4日、当社メールシステムアカウントのセキュリティを管理するセガサミーホールディングス株式会社が第三者による不正アクセスを検知いたしました。同9日、不正アクセスを受けたアカウントが保有する情報に直近1年間のお取引様の情報ならびにグループ会社従業員等の個人情報が含まれていることを確認いたしました。この状況から、個人情報漏えいの可能性を否定できないものとして、同12日に個人情報保護委員会へ報告いたしました。その後、当該アカウントが保有する情報を精査した結果、アカウントを保有する従業員が過去に従事していたグループ会社(フェニックスリゾート株式会社)のお客様情報等が含まれることが同17日に判明いたしました。
外部流出した可能性のある個人情報(2024年4月23日現在)
- ・当社の一部のお取引先様情報(約1,900件)
- -氏名、会社所在地、メールアドレス、電話番号、口座情報 等
- ・当社従業員およびそのご家族、セガサミーグループの一部従業員に関する個人情報(約300件)
- -氏名、住所、電話番号、メールアドレス 等
- ・フェニックスリゾート株式会社のお客様情報
以下に該当するお客様の氏名、電話番号 等- -2012年9月15日~2013年2月16日にご宿泊いただいた一部のお客様(約1,300件)
- -2012年9月15日~2012年9月18日をプレー日として当ゴルフ施設を予約された一部のお客様(約100件)
- ・2012年時点におけるフェニックスリゾート株式会社の一部のお取引先様情報(約1,000件)
- -氏名、会社所在地、メールアドレス、電話番号 等
- ・フェニックスリゾート株式会社の従業員に関する個人情報(140件)
- -氏名、電話番号
今後のお客様ならびに関係先への対応
本件に関連する皆様に向け、以下の専用窓口を設置しております。
- セガ フェイブ 個人情報相談窓口
- メールアドレス: privacy@mail.segatoys.co.jp
実施した対応と現在の状況
同様の不正アクセスの可能性を排除すべく、4月22日までに当社が保有するすべてのアカウントのセキュリティを強化しております。
導入後、現時点において不正なアクセスは検知しておりません。
また、本件については引き続き情報を精査し、新たな情報が判明しましたら随時お知らせいたします。
お客様ならびに多くの関係先の皆様に、多大なるご迷惑とご心配をおかけしておりますこと、重ねて深くお詫び申し上げます。
Apology and Notice Regarding Potential Data Leakage of Personal Information Due to Unauthorized Access
SEGA FAVE CORPORATION (hereafter referred to as 'SEGA FAVE') has discovered that some email system accounts used in Toys Company (hereafter 'the Company') of SEGA FAVE have been accessed by an unauthorized third party, leading to the potential leakage of personal information managed by the Company and its group company PHOENIX RESORT CO., LTD (hereafter ' PHOENIX RESORT '). Through this notice, we would like to inform you of the incident that has been identified as of today, and sincerely apologize for any inconvenience and concern caused.
We also would like to notify that none of the data that may have been leaked does not include credit card information and no unauthorized use of personal information related to this matter has been confirmed as of April 24.
Overview of incident
On 4 April 2024, SEGA SAMMY HOLDINGS INC. (hereafter 'SEGA SAMMY'), which manages the security of the Company's email system accounts, detected that there had been unauthorized access to the accounts by a third party. On April 9, it was confirmed that the data, which were reachable through the accounts illegally accessed, included information of business partners, Group company’s employees, etc., for the most recent year. Since there was the possibility of data leakage of personal information, SEGA FAVE reported to the Personal Information Protection Commission on April 12. Subsequently, a close investigation into the information further discovered that the accounts contained information of guests and customers of the Company’s Group company PHOENIX RESORT which the employee who owned the account had worked for before.
Impact of the incident
As of 23 April, the personal information that was confirmed potentially leaked as a result of this incident includes the following:
- ・Information related to business partners of the Company:
- -Approximately 1,900 records of personal information about business partners, such as names, company addresses, email addresses, phone numbers, bank account information, etc.
- ・Information related to the Company’s employees and their family, and some employees of SEGA SAMMY’s group companies:
- -Approximately 300 records of personal information about employees, such as names, residential addresses, phone numbers, email addresses, etc.
- ・Information for guests and customers of PHOENIX RESORT:
- -Approximately 1,300 records of personal information about some of the guests who stayed between 15 September 2012 and 16 February 2013, such as names, phone numbers, etc.
- -Approximately 100 records of personal information about some of the customers who booked Phoenix Country Club/Tom Watson Golf Course with the date of play between 15 September 2012 and 18 September 2012, such as names, phone numbers, etc.
- ・Information related to some of the business partners of PHOENIX RESORT (as of 2012):
- -Approximately 1,000 records of personal information about business partners, such as names, company addresses, email addresses, phone numbers, etc.
- ・Information related to some of the employees of PHOENIX RESORT:
- -Approximately 140 records of personal information (names and phone numbers) of some employees of PHOENIX RESORT.
Inquiries from applicable customers and business partners in Japan (Dedicated Contact Center)
- SEGA FAVE CORPORATION Customer information consultation desk
- email: privacy@mail.segatoys.co.jp
Actions taken and measures going forward
The Company has implemented cybersecurity enhancement measures within all accounts that it owns by April 22 to prevent the reoccurrence of such a situation. Since the introduction of the system, no unauthorized access has been confirmed. In addition, we are continuing the investigation into this incident and will make timely announcements if new information becomes available.
SEGA FAVE CORPORATION would once again like to extend its deepest apologies for any complications or concerns caused by this incident.