2025年4月15日、神奈川県横浜市のフィットネスクラブ「アトリオドゥーエ Next たまプラーザ」で不正アクセスが確認された。
公表によると、同クラブのレッスン予約システムに対する不正アクセスが業務委託先スタッフにより行われていたという。
不正アクセスが発覚したのは、2025年3月17日に発生したレッスン予約の不審なキャンセルがきっかけ。
クラブ外からのアクセスによって予約が取り消されていたことから、内部調査が開始された。
調査の結果、元アルバイトスタッフであり、現在は業務委託先から派遣されていた人物が、過去に他人から入手したアカウント情報を使って、クラブの予約システムに不正アクセスしていたことが判明した。
このスタッフは、システム上で自身の担当するレッスンやパーソナルトレーニングの確認・処理を行っていたとされる。
クラブは、本人のスマートフォンやデバイスの履歴調査を通じて、顧客の個人情報が流出していないことを確認している。
クラブは、以下の点を不正アクセスの原因として挙げている
・業務委託先スタッフおよび一部アルバイトスタッフの情報セキュリティ意識と職業倫理の欠如
・適切なシステム利用ルールや秘密保持教育、コンプライアンス遵守の指導不足
・スタッフの就業状況や問題の兆候を把握するための管理体制の不備
・システムの定期的な監視やアカウントパスワードの更新の不十分さ
同クラブは対応策として以下を講じている。
・当該スタッフとの業務契約の即時解除とアカウントの無効化
・全スタッフのアカウントパスワードの再設定と管理の強化
・アカウント情報を共有したアルバイトスタッフへの指導と厳重注意
・顧客情報の取り出し有無についてシステム会社に調査を依頼し、問題がないことを確認
・情報セキュリティ体制の見直しと再発防止策の強化(研修内容の見直し、教育の徹底、システム監視の強化など)
クラブ側は、「今後はシステム管理の徹底に努め、会員が安心して利用できる環境づくりを進める」としている。