不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ(続報および再発防止策)Apology and Notice Regarding Potential Data Leakage of Personal Information Due to Unauthorized Access (2nd Update and Future Policy to Prevent Recurrences)
2024.05.13
企業情報 2024年4月24日に公表した「不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ」の事案に関し、株式会社セガ フェイブ Toysカンパニー(以下、当社)では引き続き保有するすべてのアカウントに対し、調査を進めてまいりました。この度、調査が完了し、新たな不正アクセスおよび個人情報の外部漏えいの可能性があることが判明いたしました。つきましては漏えいの可能性がある個人情報ならびに再発防止策についてお知らせいたします。
なお、本個人情報にクレジットカード情報は含まれておりません。また、現時点において本件に関わる個人情報の不正利用等は確認されておりません。
改めまして、お客様をはじめ多くの関係先の皆様にご迷惑とご心配をおかけいたしますこと、深くお詫び申し上げます。
当社では今回の事案を厳粛に受け止め、再発防止策の実施を徹底してまいります。
本件の経緯
2024年4月24日に公表した「不正アクセスによる個人情報漏えいの可能性に関するお詫びとお知らせ」の通り、4月4日に当社メールシステムのセキュリティを管理するセガサミーホールディングス株式会社が第三者による不正アクセスを検知いたしました。そのことから当社では保有するすべてのアカウントに対し、過去の不正アクセスの有無について調査を進めてまいりました。その結果、新たに3つのアカウントに対する不正アクセスが確認され、そのうち2つのアカウントが保有する情報にお客様の個人情報が含まれていることが判明いたしました。
なお、現在調査は完了しており、その他のアカウントに対する不正アクセスは発生していないことを確認しております。
外部流出した可能性のある個人情報(2024年5月13日追報分)
- ・2017年5月2日~2019年4月23日にジャムおじさんのパン工場 横浜店にてパン教室にご応募いただいた方(10,100件)
- -氏名、電話番号、メールアドレス 等
- ・2018年8月20日~2023年1月30日に株式会社セガトイズ(当時)お客様相談センターにメールにてお問い合わせいただいた方の一部(48件)
※2021年10月~2023年1月まで継続してご連絡をさせていただいた方
- -氏名、住所、電話番号、メールアドレス
今後のお客様ならびに関係先への対応
本件に関連する皆様に向け、以下の専用窓口を設置しております。
- セガ フェイブ 個人情報相談窓口
- メールアドレス: privacy@mail.segatoys.co.jp
再発防止策
当社では個人情報保護法における安全管理措置の考え方に基づき、下記の再発防止策を実施いたします。
- 1) 技術的安全管理措置として、不正アクセスが発生したメールシステムのセキュリティ対策を強化いたしました。
- 2) 組織的安全管理措置として、業務における個人情報の取り扱いに関するルールを強化いたします。
- 3) 人的安全管理措置として、業務における個人情報の取り扱いに関するルールの徹底と従業員向け教育の見直しを行います。
お客様ならびに多くの関係先の皆様に、多大なるご迷惑とご心配をおかけしておりますこと、重ねて深くお詫び申し上げます。
Apology and Notice Regarding Potential Data Leakage of Personal Information Due to Unauthorized Access (2nd Update and Future Policy to Prevent Recurrences)
On April 24, Toys Company (hereafter 'the Company') of SEGA FAVE CORPORATION announced “Apology and Notice Regarding Potential Data Leakage of Personal Information Due to Unauthorized Access.” The Company continued the investigation into every account it manages thereafter, and it was further identified that there have been other unauthorized access and possibility of personal data leakage. Through this notice, the Company would like to inform of the data potentially leaked as of today and actions to prevent a recurrence.
The Company also notifies that none of the data that might have been leaked does not include credit card information and no unauthorized use of personal information related to this matter has been confirmed as of May 13.
Toys Company offers its sincerest apologies for any inconvenience and concerns that this incident may bring to its customers and stakeholders, and ensures to take prompt measures thoroughly to prevent a recurrence.
Overview of incident
As we announced on April 24, SEGA SAMMY HOLDINGS INC., which manages the security of the Company's email system, detected that there had been unauthorized access to the accounts by a third party on 4 April 2024. The Company subsequently investigated into all accounts it holds to verify whether there had been other unauthorized access or not. Consequently, it was newly discovered there had been unauthorized access to other 3 accounts and 2 of the accounts had maintained personal information of the customer.
Please note that the in-house investigation has been completed, and it has been clarified that there have been no additional unauthorized access to other accounts.
Impact of the incident (Only for 2nd updates on May 13, 2024)
The personal information newly discovered as potentially exposed following the investigation includes:
- ・Information related to applicants for The Baking Class at Yokohama Uncle Jam’s Bakery:
- -10,100 records of personal information about the customers who applied for The Baking Class held at Yokohama Uncle Jam’s Bakery between 2 May 2017 and 23 April 2019, such as names, phone numbers, email addresses, etc.
- ・Information related to customers of SEGA TOYS CO., LTD. (at that time):
- -48 records of personal information about some* of the customers who send inquiries to SEGA TOYS Customer Service Center through emails between 20 August 2018 and 30 January 2023, such as names, residential address, phone number, email address.
* The customers who have been in continuous contact with SEGA TOYS from October 2021 to January 2023.
Inquiries from applicable customers and business partners in Japan (Dedicated Contact Center)
- SEGA FAVE CORPORATION Customer information consultation desk
- email: privacy@mail.segatoys.co.jp
Measures going forward so as to prevent recurrences
Based on the policy of Measures for Managing the Security of Personal Data under Act on the Protection of Personal Information, the Company implements the following actions:
- 1) As the technical measure, it has reinforced the security of the email system that was illegally accessed.
- 2) As the organizational measure, it strengthens the internal rules concerning handling of personal information in business operations.
- 3) As the personnel measure, it reviews and improve education towards its employee on data-security literacy so as to ensure the rules above are thoroughly complied.
Toys Company would once again like to extend their deepest apologies for any complications or concerns caused by this incident.