2025年12月1日 株式会社 白鳩

SHIROHATOサイトにおける個人情報漏えいに関する調査結果と再発防止策のご報告
2025年11月7日付「SHIROHATO公式サイトにおける個人情報閲覧可能状態に関するお詫びとご報告」にて公表いたしました、当社が運営するECサイトでの個人情報漏えい事案につきまして、外部機関を含めた詳細な調査、および影響範囲の確定、関係官庁等への報告が完了いたしました。 本件に関する最終的な調査結果と、再発防止策の実施状況につきまして、以下の通りご報告申し上げます。
お客様ならびに関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、改めて深くお詫び申し上げます。

1. 事象の概要
当社ECサイトの新規会員登録機能（楽天ID連携）において、システム上の不具合により、特定の条件下（同時刻帯のアクセス等）で、登録手続き中のお客様の個人情報が、直後に同機能を利用された他のお客様の入力画面に誤って表示され、閲覧可能な状態となっておりました。

2. 発生期間
2025年8月20日（水） ～ 2025年11月4日（火）

3. 漏えいした可能性のある個人情報
・氏名（かな）、生年月日、性別、メールアドレス、ご住所、お電話番号
※クレジットカード情報、およびパスワードの漏えいは一切ございません。

4. 影響範囲と対応状況
・対象となるお客様（最大人数）： 176名
・対応状況： ログ調査により特定完了した169名のお客様には、個別にお詫びとご報告の電子メールをお送りいたしました。なお、会員登録が完了に至らず、ログ情報等からも連絡先の特定が困難であったお客様（7名）につきましては、誠に恐縮ながら本公表をもちましてご報告とお詫びとさせていただきます。
※なお、当初予定しておりました書面でのご連絡につきましては、電子メールでの通知完了をもって代えさせていただきました。

5. 発生原因
・技術的要因
当該機能の実装において、セッション管理（ユーザー識別処理）に関するプログラムに不備があり、複数ユーザーによる同時アクセス時に、他者の情報が呼び出される設計となっていたことが判明いたしました。
・管理的要因
システムリリース前の受け入れテストにおいて、高負荷時や複数ユーザーによる同時アクセス等を想定した検証シナリオが不足しており、事前に不具合を検知できない管理体制であったことが原因です。

6. 再発防止策
本件を厳粛に受け止め、以下の対策を実施・完了しております。
・システム開発体制の強化（委託先連携）
システム開発委託先において、個人情報を取り扱う機能の実装におけるセキュリティ基準（セキュアコーディング規約）の遵守を徹底するとともに、設計・開発工程におけるリスクレビュー体制を強化いたしました。
・当社検収体制（受け入れテスト）の厳格化
個人情報を扱うシステムの改修・リリース時において、通常利用だけでなく、アクセス集中時等の異常系を含むテスト項目を必須化いたしました。また、情報システム部門責任者の承認をリリース条件とする運用へ変更し、内部統制およびチェック体制を抜本的に強化いたしました。

7. 今後の対応について
現在停止しております「楽天ID連携」機能につきましては、システムの根本的な改修および十分な安全性のテストが完了し、安全性が確認されるまで当面の間、停止いたします。
当社は、全社を挙げて個人情報保護体制の強化と信頼回復に努めるとともに、再発防止策の継続的な運用・監視を行ってまいります。

8. 監督官庁等への報告
監督官庁（個人情報保護委員会）および Pマーク付与機関（一般財団法人日本情報経済社会推進協会：JIPDEC）への確報（最終報告）の提出は完了しております。

【お問い合わせ窓口】
白鳩カスタマーサービス課
メールアドレス：wakudoki@shirohato.co.jp （24時間受付）
電話番号：0120-10-4680 （受付時間：平日 午前10時～午後3時）
※メールでお問い合わせいただいた場合、ご返信は翌営業日（土日祝日を除く平日）以降、順次対応させていただきます。