平素は格別のご支援を賜り、厚く御礼申し上げます。

先日2022年10月30日に発生いたしました返礼品の誤配送につきまして、調査結果をご報告いたします。

本作品は情報セキュリティ対策の大切さを発信するものでございますが、情報セキュリティインシデントが発生する事態となり、支援者の皆様方に多大なるご迷惑をおかけいたしました。誠に申し訳ございませんでした。

本作品では情報セキュリティのインシデントレスポンスが重要なテーマとなっておりましたので、その実践として、今回のインシデントを教訓化するため、その経緯を調査結果としてまとめ、公表することにいたしました。

【影響の範囲】

Cコース（インシデントレスぽん酢コース）を、書籍予約者特典なしでお申し込みいただいた 6名様

【影響の件数内訳】

・誤配送による個人情報漏えい……2名様
・配達停止……3名様
（※対象の6名様のうち、3名様は配達停止により返品、1名様は誤配送ではありませんでした）

【漏えい内容】

・納品書に記載された内容
（納品書番号、氏名、住所、納品日、支援コース、金額、オプション等の申込内容）

※誤配送となった納品書は全件回収しております。

【経緯】

2022年10月23日、弊社でC、E、Fコースの発送準備を行ないました。
宛先ごとに分けて、返礼品及び納品書（納品書番号、氏名、住所、コース金額、オプション等の申込内容を記載 ）を袋に封入しました。その際、Cコース・書籍予約者特典なしの方への発送分にはOPP袋、それ以外の方にはプチプチ袋に封入しました。

その際、プチプチ袋に封入したものについては、プチプチ袋の外部から納品書番号を判読することが困難であったことから、油性ペンで納品書番号の下3桁をプチプチ表面に転記しました。

再現：判読困難なため下３桁を転記した

しかし、OPP袋に封入したものについては外部から容易に判読できることから転記は行ないませんでした。

再現：判読可能なため転記しなかった

同日、メーカー様に同梱依頼のため、準備した返礼品及び納品書をメーカー宛に送付しました。

2022年10月25日、弊社よりメーカー様に配送先リスト（納品書番号、氏名、郵便番号、住所、電話番号、封入内容）を送付しました。

（参考）配送先リストの見本

その際、多品種の同梱物があることから、誤配送のリスクがあると考え、納品書番号（No.）と同梱物の照合を依頼しました。

2022年10月29日、メーカー様にて支援者様への梱包及び発送作業が行なわれました。メーカー様においては、以下の手順で照合作業が行なわれました。

1．配送先リストを元に宅配便の送り状を起票する
2．リストと送り状で住所・氏名が一致していることを照合した上で、送り状の余白に納品書番号をメモする
3．箱に入れる際に、同梱物の番号と送り状余白にメモした納品書番号が一致することを確認する
4．封をする際、1人が納品書番号と氏名を読み上げ、もう1人がリストの記載内容と一致することを確認する形式で、2名で照合を行なう。

このように細心の注意が払われておりましたが、弊社との連絡齟齬により、「油性ペンで数字が書かれているものだけが照合の必要がある同梱物であり、記載がないものはすべて同一の中身である」という誤解が生じました。同梱物のうちOPP袋に封入されたものは油性ペンでの番号記載がなかったことから、照合が行なわれませんでした。

再現：納品書番号の記載箇所の誤解により、照合対象外と誤解が生じた

その結果、梱包された納品書の宛先と異なる方へ誤配送される結果となりました。

2022年10月30日 9時頃、返礼品を受け取った支援者様より、異なる方宛の納品書が同梱されている旨のご連絡を頂きました。

2022年10月30日 12時頃、弊社CEO起床。連絡を確認し、情報セキュリティインシデントとして対応を開始しました。

2022年10月30日 12時21分、弊社より、メーカーに連絡し1件の配達停止措置を依頼しました。

2022年10月30日 12時40分、メーカーへのヒアリングを行ないました。Cコース（インシデントレスぽん酢コース）を、書籍予約者特典なしでお申し込みいただいた 6名様について、内容物がすべて同一であるとの誤解があったため、対象の荷物において中身が入れ替わっている可能性があることが判明しました。そのため、対象者全員の配達停止措置を依頼しました。しかし、3名様については既に配達が既に完了していました。

2022年10月30日 14時頃、弊社より対象者6名様全員に連絡を行ないました。

2022年10月30日 15時頃、第1報を公表

2022年10月31日 15時頃、配達停止により返送された荷物を確認し、対象者6名様のうち3名様の個人情報漏えいを未然に阻止したことをを確認しました。

2022年11月1日、配達停止が間に合わなかった荷物を受領された3名様に、誤配送された納品書の返送用封筒と確認書を送付しました。

2022年11月3日、3名様全員より、納品書と確認書をご返送いただき、受領しました。この内容を確認した結果、2名様のうち1名様は誤配送ではなかったことを確認し、漏えい件数は2件であったことが確定しました。これをもって、誤配送となった納品書の回収を完了し、調査を終結いたしました。

【原因】

本インシデントの原因は以下の通りと考えております。

（1）不明確なコミュニケーション
　照合を依頼する際に、何が納品書番号で、具体的にどことどこを照合する必要があるのかを写真等で明確に伝えなかった。また、最終チェック工程を設けなかったことにより、誤解を正す機会がなかった。もし写真等で図解していたならば、あるいは写真等のエビデンスでの作業結果のチェックを行なっていれば、インシデントを未然に防止できた可能性が高い。
（2）作業の不統一
　良かれと思い、判読困難なものに限り納品書番号を油性ペンで転記したことが、「油性ペンでの番号記載がないものは照合の対象外である」との誤解を招いた。もしOPP袋にも油性ペンで記載するよう統一していたならば、インシデントを未然に防止できた可能性が高い。
（3）作業の不習熟
　メーカー様にとって、他社が用意した同梱物（特に他社発行の納品書）を同梱するというオペレーションそのものが、通常オペレーションとは異なるものであり、リスクが高い作業であった。もし通常オペレーション通り、同梱を依頼しなければ、あるいは納品書をメーカー様が作成していたならば、インシデントを未然に防止できた可能性が高い。
（4）コスト削減における判断ミス
　制作費に充てられる金額をなるべく減らさないことだけを意識して、同梱による発送コスト削減を最優先としていたが、手作業の増加によるリスク増を見誤っていた。もし、多少のコストを掛けて物流代行サービスに梱包を依頼して、納品書発行・封入を当該業者に依頼していれば、インシデントを未然に防止できた可能性が高い。
（5）返礼品パターンの過多
　マンネリ化を恐れて返礼品パターンを増やしすぎた結果、手に余る状況となっていた。もし返礼品のパターンを少なくしていれば、誤解が入り込む余地が少なかった。

【今後の対応】

・漏えいの対象となった皆様へは、個別にお詫びのご連絡をいたします。
・お詫びと再発防止策として、今後、今回の教訓をもとにした作品（マンガもしくはアニメ）を制作し公開いたします。
・漏えいの対象となった皆様のうち、希望される方には今回ご支援いただいた金額の全額を返金をいたします。

【再発防止に向けて】

今後の発送につきましては、以下のように対応いたします。

・原則としてメーカーへの同梱依頼を行なわず、弊社から別送する形とします。
・弊社から発送するものについては、可能な限り物流代行サービスを利用します。（納品書は当該サービスにおいて自動的に同封されものとなるため、別人宛の納品書が混入するリスクが低くなります）
・今後実施するクラウドファンディングの返礼品パターンを削減します

今回のインシデントにあたっては、支援者様からの迅速なご連絡、そして、メーカー様の迅速なご対応により、大部分の漏えいを未然に防ぐことができました。また、誤配送された納品書の返送も迅速に行なってくださった結果、全容の調査も短期間で終えることができました。皆様の迅速かつ適切なインシデントレスポンスに心より御礼申し上げます。

この度は皆様に多大なるご迷惑をおかけし、大変申し訳ございませんでした。