ファーストリテイリングは7月2日、管理する情報システムにおいて、個人情報の取り扱いに不備があり、ECでの会員登録情報などについて一部の委託先事業者の従業員が、業務上必要な範囲を超えて個人情報を閲覧することが可能な状態にあったことを明らかにした。
 
　今年1月に、顧客に提供するサービスの稼働状況を監視するための情報システムにおいて、本来の用途を超えた範囲で個人情報が閲覧可能な状態になっていることを同社担当部署の従業員が確認し、同システムへのアクセスを遮断。

　その後、個人情報保護委員会への報告を行い、同システムに個人情報が含まれていることを検知、隔離をする仕組みと運用を整備した。調査の結果、グループの通販サイトを含むいくつかのサービスにおいて、一部の顧客の個人情報が同システムに保存される設定となっていたことが判明。本来、同システムは個人情報を保存するための仕組みではないものの、結果として、同社が個人情報の取り扱いを委託していない一部の委託先事業者についても、保存された個人情報の閲覧が可能な状態になっていたという。

　同システムは、あらかじめ許可された同社と委託先事業者の担当従業員のみがアクセスできるもので、それ以外の第三者によるアクセスはできないように制限されている。この制限が有効に機能していることの確認とあわせて、同システムへのアクセスが可能な者による個人情報の持ち出しや第三者によるアクセスがないことを確認。また、個人情報にアクセスが可能となっていた委託先事業者とは、業務委託開始前に秘密保持契約を締結しており、本事案を受けて個人情報の保存や持ち出しをしていないことについて、改めて書面で確認を得ているという。

　対象となった個人情報については、昨年6月から今年1月までの間に、グループの通販サイトや実店舗などを利用した顧客に関する個人情報。具体的には氏名、住所、電話番号、電子メールアドレスを含む、通販サイトの会員登録情報。また、他店舗から商品の取り寄せを希望した顧客の氏名、電話番号、電子メールアドレス。そして、着こなし発見アプリ「スタイルヒント」を利用した顧客の電子メールアドレスだという。

　なお、閲覧が可能な状態にあった個人情報にはクレジットカード情報や、通販サイトのパスワードは含まれていないとしている。

　同社では現在も調査を継続しており、本事案の対象であることが確認できた顧客に対してはメールや手紙で順次個別に連絡をしている。