元記事公開:
ファッション小売大手ザラ(Zara)を展開するインディテックス(Inditex)は、取引データベースへの不正アクセスがあったことを公表した。同社の声明によると、この事案は「旧技術プロバイダーに影響を与えたセキュリティインシデント」に由来するとされている。
声明では、問題が過去に取引のあった技術パートナー企業に関連するセキュリティ侵害から派生したものであることが明らかにされた。一方で、被害規模や影響を受けたデータの種類、対象となった顧客や取引の範囲といった具体的な情報については、現時点で詳細が示されていない。
インディテックスはスペインに本社を置き、ザラのほかにもプル&ベア、マッシモ・ドゥッティ、ベルシュカなど複数のブランドをグローバルに展開している。取引データベースは決済情報や顧客との取引履歴を含む基幹的なシステムであり、その不正アクセスは顧客情報保護の観点から無視できない事案となる。
旧プロバイダー経由でのインシデントは、サプライチェーン全体にわたるセキュリティ管理の難しさを示すものでもある。サービスを停止した取引先に過去のデータが残存していた場合、そのリスクが後年になって顕在化する可能性は以前から指摘されてきた。
今後は、影響範囲の特定や顧客への通知、再発防止に向けた技術的・契約的な対応の枠組みが焦点となる見通しである。続報を待ちたい。
