札幌市のロジネットジャパンは6月16日、「クラブゲッツ」のブランド名で国内旅行商品の企画販売などをおこなう、子会社で第1種旅行業者の札幌通運が、サーバーへの不正アクセスにより顧客のクレジットカード情報の一部を流出していたことを明らかにした。観光庁は顧客情報の流出に加えて、被害発生後の発表が遅れたことなどを問題視。同社に対して24日までに事実関係などの詳細な報告をおこなうよう指示した。

　ロジネットジャパンによれば、流出の可能性があるのは15年10月1日から16年3月4日の間におけるインターネット決済の2519件と、04年4月から6月までと06年6月におけるカード決済の203件。同社は16年3月にクレジットカード会社から流出の可能性について連絡を受けた後、社内調査および第三者調査機関による調査を開始し、5月30日に同機関から最終報告書を受領して今回の発表に至ったという。

　札幌通運は現在、インターネット決済を停止し、流出した可能性のあるカード番号を各カード会社に提供。カード会社が不正使用の防止に向けたモニタリングの依頼をおこなっている。所管の警察と省庁には6月6日に報告済み。今後、同事業でカード決済を再開する場合は、システムの安全性を十分確認した上で再開するという。

　観光庁が同社に課した報告事項は、同件に関する詳細な事実関係や、発覚前に講じてきた安全管理措置、発覚以降の対応措置、現在の安全管理の状況、今後の再発防止策など。個人情報保護法において主務大臣は、事業者に対し、個人情報の取り扱いについて一定の報告を義務付けることが認められている。

　同庁は今月15日には、このほど不正アクセスによる個人情報流出の可能性について発表したジェイティービー（JTB）に対しても、同様の指示をおこなっている。