採用活動における個人情報漏えいの可能性に関するご報告とお詫び 2022年5月16日 株式会社エイチーム


 この度、当社グループの採用活動に関する個人情報が外部から閲覧可能な状態であったことを確認いたしました。多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。

 情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。弊社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、更なる被害を防ぐために末尾の問合せ窓口へ連絡をお願いします。

概要

 当社グループの採用に関する情報がインターネット上で閲覧可能になっているとの指摘を受けて事実関係を調査したところ、一部の個人情報がインターネット上で閲覧可能な状態にあったことが社内監査により判明いたしました。クラウドサービス上で作成したファイルで採用に関わる個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の「氏名」「学校名」「メールアドレス」「電話番号」「口座番号」などの個人情報がインターネット上において閲覧できる状態でありました。

 なお、現在、個人情報を閲覧できる状態は解消し、5月13日(金)より対象の皆様へ個別にご連絡を差し上げております。本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

1.個人情報漏えいの可能性がある対象者

(1)2018年卒~2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員
(2)2016年~2017年に実施した中途採用イベントに参加した方
(3)2017年8月~2021年10月に当社オフィスに来社し、面接等の交通費を支給した方

2.漏えいした可能性のある情報と件数

(1)新卒採用イベントやインターンシップに参加した学生及び当社グループ従業員:学生4,588名、従業員161名、合計4,749名分の個人情報

<2018年卒~2021年卒を対象にした新卒採用イベントやインターンシップに参加した学生:4,588名>
・氏名、学校名
※また、一部の学生においては下記の個人情報が該当
・メールアドレス、電話番号、インターンシップ参加時に作成された自己紹介シート、インターンシップ参加学生の評価、顔写真、出身地

<新卒採用活動に参加した当社グループ従業員:161名>
・氏名
※また、一部の従業員自身の自己紹介シートに記載された下記情報
・所属部署、顔写真、出身地、出身校

(2)2016年~2017年に実施した中途採用イベントに参加した方:30名
・氏名、メールアドレス、職業 
※また、一部の方において記載あり
・電話番号、年齢

(3)2017年8月~2021年10月に当社オフィスに来社し、面接等の交通費を支給した方:1,078名
・氏名、振込先口座番号

3.インターネット上で閲覧が可能となっていた期間

(1)新卒採用イベントやインターンシップに参加した学生
 2017年4月~2022年4月21日(木)

(2)中途採用イベントに参加した方
 2016年4月~2022年5月11日(水)

(3)当社オフィスに来社し、面接等の交通費を支給した方
 2016年4月~2022年5月10日(火)

4.経緯

 2022年4月7日(木)10時頃に、クラウドサービス上に作成されたファイル内に個人情報を含むファイルがあること、また個人情報が漏えいしているリスクがあることを、エイチーム監査役より社長室長、管理部長、ITシステム部門マネージャーに報告が入りました。

 調査の結果、クラウドサービス上で管理していたファイルに個人情報が含まれておりました。当該ファイルは、インターネット上でリンクを知る全ての人が外部から閲覧ができる状態となっており、個人情報が漏えいしている可能性があることが判明いたしました。

5.原因

 特定のクラウドサービスを利用して作成した個人情報を含むファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。

6.対応状況

 個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。

7.当事者の皆さまへの連絡について

 情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、順次、個別に電子メールによりお詫びと現在の状況及び今後の対応についてご連絡させていただいております。

8.二次被害の有無とその可能性について

 本件に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

9.再発防止策

 クラウドサービスを利用したファイルの管理・共有におけるアクセス範囲設定を見直し、個人情報を含むすべてのデータへのアクセスの制限を実施します。

 また、今後、一般的に利用できる本クラウドサービスで作成したファイルの業務利用禁止を社内で周知し、会社で管理されている本クラウドサービスで作成したファイルの利用を徹底・遵守します。この措置により、アカウントのIDやパスワードを適切に管理し、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。加えて、社内でのチェック体制を強化するとともに、個人情報に関する管理体制の強化、情報管理に関する規程やルール等の見直し及び社内への周知徹底し、再発防止に努めてまいります。

また、本件に関して個人情報保護委員会に報告いたしました。

 今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。