クレジットカード会社のアプラスは2021年9月16日、自社のクレジットカード会員47万人超が用いるIDとパスワードを誤って業務委託先に提供したと公表した。アプラスの調査によれば委託先からさらに外部に流出した形跡はなく、「不正利用は確認されていない」としている。
誤提供したID・パスワードは、アプラスがカード会員向けに提供する利用明細確認などができるネットサービス「NETstation*APLUS」で会員が自ら登録したもの。47万5813人分の情報を、Web解析を委託する事業者2社に誤って提供した。いずれもアプラスの親会社である新生銀行の取引先である。
2021年9月3日に新生銀行が委託先の1社から還元されたデータを検証したところ、データにIDとパスワードが含まれていることから誤提供が判明した。委託先から外部流出した形跡はなく、またIDとパスワードだけではショッピングなどに悪用することはできないとしている。IDとパスワードは会員が自ら変更できる。
アプラスは、提供したデータが委託業務の範囲内であることを確認する体制が十分でなかったため、問題を認識できなかったと分析。確認体制の強化などで再発防止を図るとしている。
