不正アクセス 契約解除 ～ スポーツクラブの業務委託先から派遣されたスタッフ

　東急スポーツシステム株式会社は4月15日、同社が運営する「アトリオドゥーエ Next たまプラーザ」のレッスン予約システムへの不正アクセスについて発表した。

　これは3月17日に、「アトリオドゥーエ Next たまプラーザ」のレッスン予約システムにてクラブ外で予約がキャンセルされる事象が発生したため調査を進めたところ、業務委託先による不正アクセスを確認したというもの。

　3月17日に発生したクラブ外での予約キャンセルは業務委託先から派遣されたスタッフが担当するレッスンであったため、業務委託先から当該スタッフに事情聴取をしたところ、他者のアカウントで複数回にわたり当該システムに不正アクセスしていたことが判明したという。

　当該スタッフが不正アクセスに用いた他者のアカウントは、同クラブでのアルバイト雇用期間中
に他者から入手したもので、2024年9月に退社した後、業務委託として派遣勤務する現在に至るま
で同他者のアカウントを用いた不正アクセスを行い、担当するレッスンやパーソナルトレーニングの確認やシステム上の処理を行っていたことが判明している。

　同社では、当該スタッフへの事情聴取とスマートフォン履歴、同デバイス内記録の調査結果から、不正アクセスによる同クラブの顧客情報が取り出されていないことを確認している。

　業務委託先では調査結果を受けて、当該スタッフとの契約を解除しており、同クラブでの当該スタッフの活動は終了している。また、当該スタッフのアカウントは無効化している。

　同社では、アカウントを当該スタッフに伝えたアルバイトスタッフに対し厳重注意と指導を実施している。

　同社では原因として下記を挙げている。

1.業務委託先スタッフの職業倫理観及び情報セキュリティ意識の欠如があったこと
2.アカウントアルバイトスタッフの職業倫理観及び情報セキュリティ意識の欠如があったこと
3.スタッフに対し、適切なシステム利用ルール、情報セキュリティ各秘密保持に関する意識付け、コンプライアンス遵守および違反時のリスクに関する教育各指導が徹底されていなかったこと
4.スタッフの就業状況や問題発生の兆候を把握するための管理各監督体制が不十分であったこと
5.定期的なシステム内パトロールやアカウントパスワードの更新が不十分であったこと

　同社では再発防止策として下記を実施するとのこと。

1.情報セキュリティ体制構築に向けた業務委託先との再協議
2. 東急スポーツシステムの情報セキュリティ各コンプライアンス研修の内容見直しと強化
3.スタッフへ教育の再徹底および管理監督体制の強化
4.システム内パトロールならびにパスワード更新の定期実行
5.再発防止策の効果測定および必要に応じた見直し

元の記事を読む