約10万人分もの個人情報がWebサイトから流出してしまった楽器・オーディオ機器販売のサウンドハウスが、事件の報告書を公表しました(報告書=サウンドハウスのWebサイト)。
中島尚彦社長名で出されたこの文書は、全部で22ページにも渡っています。特に、3月21日にカード会社から第一報を受けてから、4月16日に経産省へ報告書を送付するまでの一連の経過については、時系列に沿って記述。情報流出事件・事故の当事者企業が公表した文書としては、極めて異例と言える詳細なものとなっています。
その内容ですが、かいつまんで紹介すると、
- お詫びとして、対象の約10万人に1000円分のポイントを付与。さらに、4月末までに同社サイトで新たに商品を購入した顧客には、購入金額の3%をポイントで返金する。
- 2006年6月の時点で何者かがSQLインジェクションを使用してバックドアを作った可能性が高く、その後、中国のブログで同社のサイトへの侵入方法が掲載されていた。
- 事件前のセキュリティ管理体制としては、ファイアウォールや脆弱性検査サービスを導入しており、「完璧ではないが、落ち度があったと言えるレベルではない」と考えている。
- 事件後には、プログラムやシステム構成の見直しのほか、IDSを導入して24時間体制で監視しており、「およそ最強のセキュリティ管理体制を整えつつある」。
といったところでしょうか。