2025年11月14日、京都にあるホテル「京都ガーデンパレス」で第三者による不正アクセスが検知された。
宿泊予約情報管理システムから、顧客の個人情報が流出したとされている。
不正アクセスは2025年10月23日に発生。
「Kyoto Garden Palace-ご予約がキャンセルされる可能性があります」という件名のメールが顧客に向け送信されたとのことで、フィッシングサイト(偽のウェブサイトで個人情報をだまし取ろうとするもの)に誘導するリンクが含まれていたという。
このメールはホテル側から送られたものではなく、流出した情報を悪用したものとみられる。
流出した可能性がある個人情報は顧客の氏名、性別、住所、電話番号、メールアドレス、宿泊に関する情報などが該当。
10月22日以降に宿泊予約した顧客約2,800名が影響対使用だという。
なお、クレジットカード情報はホテル側で保持していないため、被害対象外とのこと。
ホテル側は対応として予約管理システムの認証情報を変更しており、その後さらなる不正アクセスや不審なメールの送信は確認されていないという。
また、個人情報保護委員会への報告と所轄警察署への相談を行っており、専門機関の指導を受けながら調査を進めているとのこと。
再発防止策としてシステム管理体制の強化、従業員へのセキュリティ教育の徹底、内部監査の強化などを速やかに実施する方針を示している。
顧客に対しては、不審なメールを受け取った場合は削除し、リンクにアクセスしないよう呼びかけている。
万一フィッシングサイトでクレジットカード情報を入力してしまった場合は、すぐにカード会社に連絡して利用停止などの手続きを取るよう求めている。
なお、ガーデンパレスグループの他のホテルでは、現時点で同様の不正アクセスや個人情報の流出は確認されていない。
