阿久津皇 委員長
それでは、(2)に移ります。情報共有システムの特別委員会フォルダからスポーツ・交流推進特別委員会から、本日の資料をお開きください。
それでは次に、(2)(公財)世田谷区スポーツ振興財団業務委託先への不正アクセスによる情報流出について、理事者の説明を願います。
中潟 スポーツ推進課長
それでは、急遽、案件として入れさせていただいた件でございます。公益財団法人世田谷区スポーツ振興財団業務委託先への不正アクセスによる情報流出について御説明させていただきます。
概要でございますが、世田谷区スポーツ振興財団が委託しております教室等申込・受付・決済顧客管理システム及び施設利用料コンビニ支払いによる代金回収事務委託におきまして、システム運営・決済代行受託者が運営、管理をしております決済情報データセンターサーバー内に不正アクセスが確認されたことから、情報流出及び情報流出した可能性があることが発覚したため、報告するものでございます。
2の財団からの業務委託先でございますが、株式会社メタップスペイメントでございます。
3の業務委託契約件名につきましては、(1)、(2)のとおりでございます。
4の被害状況でございます。まず、(1)の教室申込システムを経由した登録者のクレジットカード情報でございますが、流出した可能性があるものにつきましては、クレジット番号、有効期限、セキュリティコード、こちらの三点でございます。その情報流出した可能性のある件数でございますが、本業者を利用している顧客の四十六万三百九十五件のうち、財団に該当する情報流出した可能性は六百五件でございます。次に、(2)の施設使用料をコンビニで決済した利用者の情報でございます。こちらにつきましては、氏名、利用者ID――利用者を識別する番号、この二点でございます。情報流出した全体百九件のうち、財団に該当する情報流出は一件でございます。
次に、この間の経過でございます。まず、令和四年一月二十四日、メタップスペイメント社――以下MP社と申します――が決済データサーバーへの不正アクセスの懸念が判明、不正ファイルの存在を確認したため、スポーツ振興財団のクレジットカード決済、トークン方式というものでございますが、そちらのサービスを翌二十五日より停止する旨、MP社から財団が連絡を受けております。連結して管理しております財団の教室申込システムの登録者に関する情報流出はないということをその時点でMP社から財団が報告を受けているものでございます。
二ページ目を御覧ください。翌一月二十五日、MP社につきましては、自社が運営するクレジットカード決済システム(トークン方式)への不正アクセスを確認、情報流出の可能性があることを公表されました。その際に第三者委員会を設置し、詳細な調査の上、二月下旬に公表すると報告を受けております。その報告を受けまして、スポーツ振興財団が管理する教室申込システムのクレジットカード決済を停止いたしました。さらに一月二十八日でございます。財団はMP社と協議の上、カード決済方式について、トークン方式から他の方式へ変更し、クレジット決済を再開しております。この間につきましては、かなりカード決済の利用者が多いということで何とかできないかということの協議、さらにクレジット会社からの新たな方式への変更についての承認を得られたということで安全性を確認し、再開を決定したものでございます。
月が変わりまして、二月二十一日、MP社より第三者機関の調査によりトークン方式を経由した決済情報について、情報流出の可能性があると財団に報告がございました。先ほどの被害状況の内容の報告でございます。翌二十二日に財団がMP社へ事情聴取し、区スポーツ推進課へ口頭により報告をいただきました。さらに、スポーツ推進課からICT推進課ほか庁内関係所管へ報告をしております。一日置きまして、二月二十四日、財団よりさらなる事情聴取からの報告をスポーツ推進課にいただき、スポーツ推進課につきましては、関係所管で情報共有をしたというものでございます。
次の6今後の対応でございます。まず、(1)のMP社でございますが、昨日二月二十八日に、調査結果としてホームページ上で公表されております。その内容につきましては、専用の相談電話窓口の開設、クレジットカード差し替え手数料、差し替えたいと申し出た方についてはMP社の負担で行う。さらにクレジットカード会社と連携し、流出可能性のあるカードの取引モニタリングを実施する。さらに、不正利用が判明した場合につきましては、利用者の負担がない各クレジット会社へ相談するよう案内をする、クレジット会社が補填するという内容でございます。さらに、MP社につきましては、再発防止対策委員会を設置しておりまして、令和四年四月末に再発防止策を発案するというところの報告を受けてございます。
次に、(2)のスポーツ振興財団の対応でございます。二十八日のMP社の公表を受けまして、同日十四時に財団のほうから情報流出の可能性のある登録者へMP社の専用相談窓口案内等問合せ先を明記したメールを個別に発送しております。さらに、財団のホームページで公表してございます。そのほか、本件につきまして、財団におきましては、財団が主催する各種事業に参加する区民等の被害が及ぶおそれ、あるいは被害を最小限に食い止めることを目的に立ち上げる中央対策本部を立ち上げ、二十一日より対策を開始しているところでございます。さらに、昨日、メール送信のうち五件の不受理があり、そこにつきましては速達で対応してございます。さらに本日でございますが、新たに郵送にて該当者宛て再確認のための通知を発送するということを決定したということでございます。
さらに、昨日十時、MP社の公表から、十時から十一時の一時間の間でございますが、MP社のコールセンターのほうに問合せは二百件ということでございました。今後、その定時報告等をどのように対応するかというのは、財団とMP社で現在協議をしているところでございます。財団への問合せにつきましては、本日一件ございまして、そのMP社のフリーダイヤルがつながらない、呼出し音が鳴ったままだというような状況が一件ございまして、そこにつきましては、アナウンスをするですとか、回線数を増強するなどの指示をしているというところでございます。
最後に、(3)世田谷区の対応でございます。区も二十八日、財団の公表を受けてホームページで公表してございます。さらに、財団に対しまして、教室申込システムのセキュリティーの信用性、不正アクセスの原因究明について、MP社への情報聴取を進めるとともに、今後の改善策などについて報告を求めているというところでございます。
説明は以上でございます。
阿久津皇 委員長
ただいまの説明に対し御質疑がありましたら、どうぞ。
あべ力也 委員
流出した情報の中にメールアドレスというのは、ひもづけになっているものが流出したんですか。流出したと疑われる方にメールでお知らせをしたということで、直近で郵送でまたやられたということですけれども、方法として、やっぱり初めから郵送で送らないと、メールでそういうのが来ても、まず私なんかは開かないですね。スパムなのかなと思っちゃいますし、その辺、こういうことが生じたときの対処の仕方というのを財団も区の所管もちゃんと検討されたんですか。決めてあるんですか。何か後追いで、誰かに言われたのか何か知らないけれども、郵送でまた確認で送ったと。初めから、こういう情報漏えいの場合には、メールでこういうことがありましたよと当事者に送ること自体が、情報が漏えいしているんだから、メールアドレスそのものも漏えいしている可能性もあるわけじゃないですか。その辺はどういうふうにお考えになったのか、ちょっと聞かせていただきたいんですけれども。
内田 スポーツ推進部長
先ほど課長が御報告したとおり、メールアドレスにつきましては、漏えいはないというところでございます。会社のほうが二十八日に公表したというところがございますので、まず、その六百五名の方々に早く情報をお届けしたいというところがあり、それの部分についてはメールが一番早いだろうというところで、メールを出したところでございます。
ただ、我々もそうなんですけれども、メールをたくさん受けている方、あるいは表題だけ見て削除する方、いろいろいらっしゃいますので、そういう意味では、メールだけで六百五人の方が内容が分かったということにはならないだろうというところでございます。プラス、五件につきましては、メールを出したんですけれども届かないというところがありましたので、その方々については速達、プラス、皆様方に再度、メールだけではなくて、確かに郵送だと何日か遅れますけれども、確実性もあるというところもありますので、両方で対処したというところでございます。一番最初にメールを出したというのは、なるべく早く六百五名の方に内容について知っていただきたいということで、スピードという感覚を持って、そちらのほうを選択させていただいたというところでございます。
あべ力也 委員
それと、情報が流出して、カード番号と、あとセキュリティコードも流れているということになると、現状、被害が出ないとは限らないですよね。その場合に、その損害に関しては、カード会社が損害を持つんですか。それとも、漏えいしたところの事業者が持つんですか。カード会社がそういう保険に入っているからカード会社が持つという場合もあるんでしょうけれども、そもそも漏えいに関して責任があるということになれば、カード会社から請求される可能性もありますよね。その辺はどうなんですか。
内田 スポーツ推進部長
財団を通じて、このメタップスペイメントのほうに確認をしたところ、例えば、今、委員から御指摘のとおり、クレジット番号等々が不正に流出になってしまったというところがあり、仮に損害が出た場合につきましては、その金額の部分についてはクレジット会社が払うというところで報告を受けているところでございます。
