イオン銀行に不正アクセス、個人情報2062件が流出　情報管理用クラウドツールで設定ミス

　イオン銀行は2月22日、同社が提供する「来店予約・オンライン相談サービス」で使っていた情報管理用クラウドツールが不正アクセスを受け、保存していた2062件の個人情報が流出したと発表した。同行は具体的な製品名を明らかにしていないが「情報管理に使っていたクラウド型システムの設定にミスがあった」という。

　来店予約・オンライン相談サービスでは、店舗への来店予約や金融商品に関する相談などをWebで受け付けている。流出したのは、来店予約・オンライン相談サービスを利用したユーザーの氏名（2062件）。口座の有無（779件）、電話番号（608件）、管理番号（227件）、メールアドレス（49件）、来店の希望日時（15件）、相談内容（13件）も含む。

　他社で相次いでいたCRM（顧客関係管理）ツール「Salesforce」製品の設定ミスによる情報漏えいを受け、2020年12月から独自に調査を実施。21年1月29日までに何者かに情報を閲覧されていたことが判明した。

　その後は29〜30日にサービスを一時停止し、設定を変更した。イオン銀行によれば、以降は不正なアクセスを確認していないという。

　情報が漏えいしたユーザーへの案内や、監督官庁への報告はすでに完了している。イオン銀行は今後、クラウドツールの設定を定期的に見直すなどして再発防止に努める。

イオン銀行の発表（公式サイトから抜粋）

　情報管理用クラウドツールを巡っては、20年12月にPayPayが約2000万件の加盟店情報、楽天が148万件以上の個人情報について、Salesforceの設定ミスに起因する情報漏えいの可能性があることを発表。21年になってからもイオンやfreeeが漏えいの可能性があったことを明らかにしている。