東急グループの商業施設運営会社「東急モールズデベロップメント」社は、同社が運営する商業施設「エトモあざみ野」で、クレジットカード決済データを含む個人情報が誤って外部に送信される事案が発生したと公表。
同社の説明によると、2025年12月1日、従業員が「エトモあざみ野」に出店する1店舗へ、同年11月分のクレジットカード決済データをメールで共有する際、本来送付すべき範囲を誤り、「エトモあざみ野」に出店する全店舗分の決済データを添付して送信したという。
翌12月2日、誤送信先の出店店舗からの指摘により事案が判明している。
誤送信されたデータには、氏名、クレジットカード番号情報、カードの有効期限、アクワイアラー情報、決済日時、決済金額が含まれており、データ件数は2万5,734件とされている。
アクワイアラーとは、クレジットカード決済において加盟店と契約し、決済処理を行うクレジットカード決済会社を指す。
原因について同社は、決済データ管理システムから情報を抽出する際の条件設定ミスに加え、メール送信時の添付ファイル確認が不十分だった点を挙げている。
同社は誤送信先の出店店舗に対し、当該メールとダウンロードされたデータの削除を依頼。
公表時点で個人情報が不正に利用された事実は確認されていないとしている。
再発防止策として、今後は出店店舗に対するクレジットカード決済データ共有を目的としたデータ抽出業務自体を取り止めるほか、個人情報を扱う業務プロセス全体を見直し、管理体制の強化と従業員教育の徹底を進めるとしている。
