オリックス・ホテルマネジメント（本社：東京都港区、社長：似内 隆晃）が運営する「箱根・芦ノ湖 はなをり」（所在地：神奈川県足柄下郡箱根町、総支配人：若山 智、以下「当施設」）は、本年6月18日^※1および6月28日^※2にお知らせした情報漏洩の懸案について、このたび、当施設をご利用およびご予約いただいた一部のお客さまの情報が漏洩したことが判明しましたのでお知らせします。

　お客さまをはじめ、関係者の皆さまには多大なご迷惑とご心配をおかけする事態となりましたことをお詫び申し上げます。

　判明した事実について、以下の通りご報告いたします。

1．経緯

　本年6月18日、お客さまからのお問い合わせにより、一部のお客さまが当施設やオンライントラベルエージェント（以下、OTA）を装う不審な電子メールを受け取っていることを把握しました。同日、当社および当施設のホームページにおいてお客さまへ注意喚起を実施。また、6月28日、当社および当施設のホームページにおいて「お客さま情報漏洩のおそれに関するお知らせとお詫び」を掲載しました。

　上記一連の事案に関して、調査の結果、当社の予約情報を一括管理するシステムへの不正アクセスが原因で、一部のお客さまの個人情報が漏洩し、不審なメールの送信に悪用された可能性が高いことを確認いたしました。

　予約情報を一括管理するシステムが不正アクセスを受けた原因は調査中ですが、当施設が外部からのサイバー攻撃を受けた可能性が高いと考えております。既にシステムへの侵入経路を特定・遮断しており、現時点で二次被害は確認されておりません。また、6月20日以降、お客さまに不審なメールが送られる事象は確認されておりません。

※1 2024年6月18日付お知らせ（オリックス・ホテルマネジメント）

※2 2024年6月28日付お知らせ（オリックス・ホテルマネジメント）

2．漏洩した個人情報の内容

件　数 ：約900件^※3

対象者 ：OTA経由で2023年6月19日以降に当施設に宿泊、または2024年12月31日までの予約をされたお客さま（その後にキャンセルされた方を含む）。当施設ウェブサイトから直接ご予約のお客さまは対象ではございません。

情報種類：氏名、住所、電話番号、チェックイン・チェックアウト予定日、OTAで予約毎に作成されるメールアドレス（お客さま個人のメールアドレスは含まれません。また、クレジットカード情報は含まれません）　

※3 予約情報を一括管理するシステムから漏洩した件数

3．今後の対応

　当施設やOTAなどの関係者を装うダイレクトメールや電話、リンク経由で支払い情報の共有を求めるようなメッセージには十分にご注意ください。

　本件に関してのご相談・お問い合わせについては、下記へご連絡下さいますようお願いいたします。当施設では、すでに様々な情報セキュリティ強化を行っており、今後、同様の事象が起こらないよう再発防止に努めてまいります。

以　上