2010年7月23日　更新 ・第三者機関であるセキュリティ専門会社A社の最終報告を追加いたしました。 ・流出件数を更新いたしました。 ・FAQを更新いたしました。 2010年7月16日　更新 ・第三者機関であるセキュリティ専門会社B社の最終報告を追加いたしました。 ・流出件数を更新いたしました。 2010年7月8日　速報掲載
この度、株式会社フィンチジャパン（社長：髙橋広嗣　本社所在地：東京都渋谷区恵比寿1丁目18−5アルカサルビル2階）が運営する花の総合 EC サイト、「トリタスフラワー」　http://tritas.jp/ （以下本サイト）のウェブサイトに対して海外サーバーからの不正アクセスがあり、その内容を調査しましたところ、本サイトをご利用いただいておりますお客様のクレジットカード情報の一部が流出したことを確認いたしました。
実際に不正利用の被害に遭われたお客様、クレジットカードの再発行を余儀なくされたお客様、その他関係者の皆様に多大なるご迷惑、ご心配をおかけ致しましたこと深くお詫び申し上げます。
弊社では、今回の事態を厳粛に受け止め、お客様及び関係者の皆様の信頼回復に全社一丸となって、全力で取り組む所存です。

現在、弊社では第三者のセキュリティ専門会社の指導の下、不正アクセス対策の強化を実施しており、安心してご利用いただける環境整備に努めておりますが、「トリタスフラワー」での通販業務に関しては、よりセキュリティ効果の高いシステムを導入するまで運用を停止しております。

引き続き、事実の解明と安全性の確保に努めてまいりますが、これまでの経緯と確定された事実について下記の通りご説明申し上げます。


１． 経緯

2010年6月21日

• クレジットカード会社より、決済代行会社を通じて、カード情報流出の可能性があるため、調査依頼を受ける。
• 「トリタスフラワー」のサーバー管理会社に調査依頼。
• ウェブサイトを閉鎖。

2010年6月22日

• 社内対策委員会発足。
• クレジットカード会社より、決済代行会社を通じて、不正利用と思しきクレジット番号がトリタスデータベース上に存在するかの確認要請あり。
• サーバー管理会社への漏洩範囲の特定の調査依頼を行う。
• サーバー管理会社にデータベースの停止を依頼。

2010年6月23日

• 警察へ通報。
• 第三者機関であるセキュリティ専門会社Aへ連絡。

2010年6月24日

• 第三者機関であるセキュリティ専門会社Aへ調査を依頼。

2010年6月28日

• 第三者機関であるセキュリティ専門会社Bへ調査を依頼。

2010年6月30日

• 流出可能性があるお客様の特定作業を開始。

2010年7月1日

• セキュリティ専門会社Bより速報レベルでお客様のクレジットカード情報の流出の可能性が大きいことの報告を受ける。

2010年7月6日

• セキュリティ専門会社Bより中間報告
• 流出可能性があるお客様のクレジットカード情報（カード番号、名義、有効期限）を最大で5,964件と確認。
• その他の個人情報に関しての流出は確認できないとの報告を受ける。
• 監督官庁である経済産業省へお客様クレジットカード情報の流出につき報告。

2010年7月7日

• セキュリティ専門会社Aより中間報告
• 流出情報はお客様クレジットカード情報(カード番号、名義、有効期限)
• その他の個人情報に関しての流出の形跡はない、との報告を受ける。

2010年7月8日

• お客様専用お問い合わせ窓口を設置。
• クレジットカード情報の流出の可能性があるお客様へは郵送およびＥメールにて順次連絡を開始。

2010年7月13日

• 第三者機関であるセキュリティ専門会社Bより最終調査報告。
• 流出可能性があるお客様のクレジットカード情報（カード番号、名義、有効期限）を最大で5,864件。
• その他の個人情報（氏名・住所・電話番号・eメールアドレス等）に関しての流出の形跡はなし。

2010年7月22日

• 第三者機関であるセキュリティ専門会社Aより最終調査報告書。
• 流出件数は、5,593件。

2010年7月23日

• 3度目の告知をメールにて送信。
• ウェブ告知、FAQの更新。
• お詫状を、順次、郵送開始。

２． 不正アクセスの内容及び今後の対応

（１） 侵入経路など

1. 日時：2010年6月10日午前3時25分〜2010年6月21日午前5時32分にかけて
2. 侵入経路：海外（中国・韓国・ベトナム）のIPアドレスよりトリタスフラワーのウェブサイトに対し不正アクセスが行われ、データーベース上のクレジットカード情報を窃取したものと確認されました。

（２） 流出の可能性のあるお客様
「トリタスフラワー」で2008年3月4日〜2010年6月21日の期間に商品をクレジットカード決済にて、購入いただいた方の一部のお客様。

（３）不正アクセス流出の可能性のある項目及び件数
クレジットカード情報（カード番号、名義、有効期限） 調査会社A・・・5,593件、調査会社B・・・5,864件
弊社といたしましては、今回の流出件数を最大リスクで捉え、5,864件で報告させていただきます。
（その他個人情報に関しましては、流出の形跡はございません。）

（４） お客様への対応
7月8日よりFAQ（http://tritas.jp/）を掲載いたしております。良くあるご質問や、疑問点等を取りまとめておりますのでご確認ください。
また、お客様窓口(0120-177-090)を設置し、お客様からの御質問等を受け付けております。

（５） クレジットカード会社との協調
本件につきましては、お客様に金銭的被害が発生しないよう対応することが重要と考えております。流出の可能性のあるクレジットカード番号5,864件について既に各クレジットカード会社と共有し、お客様にご迷惑をおかけしないように協調して対応して参りますのでご安心ください。

ご不安のあるお客様におかれましては、弊社FAQ（http://tritas.jp/）、お客様窓口(0120-177-090)へご照会くださいますようお願いいたします。



３． 今後の対応に関しまして

本件は不正アクセスに該当するものとして、弊社より関係官公署に通報、申し立てを致しました。
今回、流出情報の確認作業とともに、セキュリティ専門会社のアドバイスのもと、セキュリティ対策を講じておりますが、引き続きさらなる堅牢性を確保するため、システムおよびマネジメント体制の向上とチェック体制の強化を行ってまいります。

お客様からの本件に関しますお問い合わせにつきましては、以下、トリタスフラワーお客様窓口までお願い申し上げます。

---

本件に関するFAQ（よくいただくご質問と回答）

1. 概要について
   通販サイト「トリタスフラワー 」　http://tritas.jp/　（以下「本サイト」）のウェブサイトに対して海外サーバーからの不正アクセスがあり、その内容を調査いたしましたところ、本サイトをご利用いただいておりますお客様のクレジットカード情報の内、5,864件が流出した可能性が高いことを確認いたしました。


2. 情報流出発覚の経緯について
   6月21日にクレジットカード会社より、カード情報流出の可能性があるため、弊社へ調査の依頼がありました。第三者機関であるセキュリティ専門会社へ調査を依頼し、データ流出の分析を行いました。7月22日に第三者機関であるセキュリティ専門会社による調査が終了致しました。

1. 流出した情報とは具体的にどのようなものか
   ■流出の可能性がある対象者と項目
   対象者…2008年3月4日〜2010年6月21日の期間に「トリタスフラワー」よりクレジットカード決済で商品をご購入いただいたお客様の一部
   ■不正アクセスによる流出が確認された項目及び件数
   ①項目…クレジットカード番号、氏名（ローマ字）、有効期限の3点
   ②件数…セキュリティ専門会社A：5,593件（7月22日）　　セキュリティ専門会社B：5,864件（7月13日）弊社といたしましては、今回の流出件数を最大リスクでとらえ、5,864件で報告させていただきます。
   その他個人情報（クレジットカード情報を含まない個人情報。お届け先の個人情報）・・・無し


2. クレジットカード情報以外の個人情報（氏名、住所、電話番号等）は流出していないのか
   クレジットカード情報以外の個人情報（お客様の住所、電話番号、メールアドレス、ご送付先情報等）に関しましては、流出の形跡はございません。ご心配をおかけいたしまして大変申し訳ございません。


3. 迷惑メールが増えているが、今回の情報流出が原因ではないか
   クレジットカード情報以外の個人情報の流出の形跡はございません。メールアドレス等の情報に関しましては今回の流出情報には含まれておりません。


4. 注文時に写真の添付を行ったが、他のサイトでアップなどされていないか
   クレジットカード情報以外の個人情報に関しましては、流出の形跡はございません。ご心配をおかけいたしまして大変申し訳ございません。


5. 不正アクセスに関しての連絡がきて、送付先、利用履歴が知られてしまうのではないか？
   クレジットカード情報以外の個人情報に関しましては、流出の形跡はございません。ご心配をおかけいたしまして大変申し訳ございません。

1. 情報流出の可能性がある本人には、なんらかの連絡をしているのか
   情報流出の可能性があるお客様には7月8日に、メールにてご連絡いたしました。メールの送信ができなかったお客様に関しましては、郵送にて順次ご連絡を差し上げております。また、7月22日に流出可能性の高いお客様の範囲を特定いたしました。対象のお客様にはメールもしくは郵送にて順次ご連絡いたしますが、お心当たりのあるお客様は、お客様窓口にご連絡いただきますようお願い申し上げます。


2. クレジットカードが不正利用されていないかを、どのように確認すればいいのか
   お客様ご自身が利用したもの以外が存在しないかをご確認いただくためには、ご利用明細の確認をお願い致します。ご不明な利用がございましたらお客様がお持ちのクレジットカード裏面に記載されていますカード発行会社の電話番号までお問い合わせいただきますようお願い申し上げます。対象のクレジットカードが分からない場合には、大変お手数をおかけ致しますが、ご本人様より、弊社お客様窓口までご連絡ください。また今後のご利用明細を継続的にご確認される事をお勧めします。


3. クレジットカードの利用明細を紛失した場合はどうすればよいか
   クレジットカードの利用明細については、お客様がご契約のクレジットカード会社へ直接お問い合わせください。


4. 自分のクレジットカードは安全なのか
   クレジットカード番号の流出可能性の高いお客様にたいしては、順次、メール、郵送にてご案内を差し上げております。情報流出の可能性がありますので、大変お手数をおかけ致しますが、弊社お客様窓口、もしくは、クレジットカード裏面記載のクレジットカード発行会社にご連絡いただけますようお願い申し上げます。流出の可能性の高いカード番号につきましては、各クレジットカード会社と情報を共有し、お客様にご迷惑がかからないよう、誠心誠意対応させていただきます。


5. 即刻自分の情報を削除してほしい
   情報の流出が確認された後、該当のウェブサーバーに格納されておりました個人情報、クレジットカード情報はすべて削除いたしました。


6. 実際にクレジットカード不正利用の被害にあったらどんな補償をしてくれるのか
   お心当たりのない請求につきましてはお客様にご負担をおかけしないよう、クレジットカード各社と連携をはかりながら対処してまいります。


7. クレジットカード番号を変えて欲しい
   流出可能性の高いカード番号に関しましては、各クレジットカード会社と共有し連携をとって対応しております。お手数をおかけ致しますが、お手持ちのカード裏面に記載のクレジットカード発行会社にご連絡をいただき、お客様のクレジットカードにつき、ご確認いただきますよう、お願い申し上げます。

1. 今後、個人情報の流出がないように、どのような対策をとるのか
   第三者機関であるセキュリティ専門会社のアドバイスのもと、セキュリティシステムの強化とマネジメント体制・チェック機能の強化を同時に行ってまいります。


2. 今後被害が拡大する可能性はないか / 後から流出や被害の連絡が来ることはないか
   既に第三者機関であるセキュリティ専門会社の指導による調査および、セキュリティ強化を行っており、今後の流出や被害拡大の可能性は低いと考えております。ただし、新たな事実や情報が判明した場合は、すみやかに報告させていただきます。


3. 今回の件でどのような対応をとったのか
   通報を受けて直ちにデータの調査を行いました。同時にセキュリティ専門会社のアドバイスをもとにシステムの安全性強化をすすめております。また安全性が確認されるまで通販サイトを停止させていただいております。警察および監督官庁への通報、報告もいたしております。


4. カード再発行による個人補償はしてくれるのか
   本件の流出対象カードのお客様に関しては、各クレジットカード会社と連携してご迷惑のかからないように誠心誠意対応させていただく所存です。まずはカード裏面に記載のクレジットカード発行会社にご連絡いただきますようお願いします。


5. 流出した個人情報の売却やクレジットカードの不正利用が行われているのか
   クレジットカード情報以外の個人情報の流出の形跡はございません。
   また、本件を起因とする、クレジットカードでの不正利用による被害が確認されております。詳細は、カード裏面に記載のクレジットカード発行会社にご連絡いただきますようお願いします。

1. ポイントの交換は出来るのか/　余ったポイントはどうすればよいか
   今、現在弊社にてサーバーを停止しているため、お客様の保有ポイントにつきお調べできない状況でございます。お調べ出来次第、速やかにご連絡します。ご希望に沿って300pt以上のお客様にはサイト再開後、交換のお手続きをします。


2. 公共料金をカードの引き落としにしているが、カード変更に伴いどのように手続きしたらよいか
   カードを変更しますとご契約されている会社様では引き落とされなくなります。個人情報のお取り扱いになりますので、大変お手数をおかけ致しますが、お客様がご契約のお取引会社に新しいカード番号を申請して下さいますようお願い申し上げます。


3. 不正利用につき既に支払ってしまったが、返金してもらえるのか？
   カード会社からお客様へのご利用額のお引き落とし実施後に、お心あたりのない請求にお気づきになられた場合も速やかにお客様からご利用のカード会社までお申し出くださいますようお願いいたします。


4. 注文時に使用したカードがどのカードかわからない。教えてもらえるか？
   弊社にて、お客様注文履歴を確認いたしますが、確認できる情報としましては、お客様のご利用いただいたクレジットカードの頭の4ケタのみでございます。お手数をおかけ致しますがご了承ください。
   また、クレジットカードご名義人以外の方からのご連絡に関しては、ご対応できかねますので、ご本人様からご連絡いただきますようお願い申し上げます。


5. なぜ、すぐに公表しなかったのか？/　なぜ、公表するまでに時間がかかったのか？
   クレジットカード情報が流出した可能性が高いことがわかりましたので、その全容について把握するべく、第三者機関であるセキュリティ専門会社を通じて実態調査を実施しておりました。同時に、対象者の情報連携やお客様からのお問い合わせ体制の整備について、各カード会社様と協調して最短時期を検討した結果、8日に公表する次第になりました。


6. 退会したい
   申し訳ございません。現在、システム自体が停止しておりますので、実際の退会処理に関してはシステム復旧後となります。
   退会処理が済み次第、メールにてご連絡差し上げます。


7. トリタスフラワーでの購入はキャンセルしたのに、クレジットカード情報が流出したというのはどういうことか
   申し訳ございません。一度ご注文いただいてからのキャンセルに関しましては、決済情報には、キャンセルとして情報を更新をし、トリタスフラワーのデータ上にはお客様のクレジットカード情報が保存される設定になっておりました。ご迷惑をおかけいたしまして誠に申し訳ございませんでした。


8. 既にトリタスフラワーの会員は脱会しているはずなのにクレジットカード情報が流出したというのはどういうことか
   申し訳ございません。お客様の会員情報は削除されておりましたが、過去の購入履歴情報の一部として、トリタスフラワーのデータベースにお客様クレジットカード情報を残す設定となっておりました。ご迷惑をおかけいたしまして誠に申し訳ございませんでした。