この度、Slack Technologies Limited( 本社:Level 1, Block A, Nova Atria North, Sandyford Business District, Dublin 18 Ireland )(以下、Slack社とします。)より通知があり、当社がコミュニケーションツールとして採用している「Slack」に関して、ユーザーのメールアドレス等を含むレポートが誤って、Slackを契約する他の米国企業1社に対して一時的に開示されたことが判明いたしました。(以下、本件とします。)
本件事象はSlack社における手続き上の誤りを原因としており、Slack社からは既に誤って開示された情報の収集は完了し、米国企業の手元には当該データが残っていないことが確認されたとの報告を受けています。なお、ユーザーによる通信内容は当該レポートには含まれていません。
この度は関係者の方々にご迷惑をおかけしたことをお詫び申し上げます。
1 本件の概要:
Slack社より報告を受けて明らかになっている本件の概要は以下のとおりです。
2022年7月11日、Slack社は、米国企業1社から同社のSlackワークスペースに関する情報提供の依頼を受け、2022年7月18日にレポートファイルを生成し、クラウドストレージを通じて当該米国企業に共有しました。
しかし、Slack社の手続き上の誤りにより、当該レポートには米国企業ではなく当社のワークスペースの情報が含まれ、共有されました。共有されたファイルは担当者によりダウンロード及び閲覧されましたが、内容が当該米国企業のものと異なるという指摘があったため、Slack社は同日、当該米国企業のクラウドストレージへのアクセス権を停止しました。
その後、Slack社は、2022年7月27日までに、当該米国企業の担当者にファイルの削除を要請し、完全に削除されたこと、同社内の他の人物に転送していないことを確認しました。
2022年8月9日、上記発生事実について、Slack社の米国のデータガバナンスチームから日本の当社担当営業に連絡がありました。翌10日に当社担当営業から当社にメールにて当社従業員のメールアドレスを含むレポートがSlack社の他の顧客に共有された旨の案内がありました。
その後、Slack社における調査により、レポートに含まれるメールアドレスが当社従業員だけでなく、当社に関係する外部の方のメールアドレスを含むこと、また、個人データにかかる本人の数が1,000人を超えるおそれがあることがSlack社で判明しました。このことから、2022年8月18日、Slack社から当社宛にメールにてこれらの事実について追加連絡があり、同日、当社において、1,000件を超える個人データの漏えいのおそれが発生したことを認識しました。当社が当該レポートをSlack社から受領し、その内容を確認したのは2022年8月22日となります。
2 漏えい等が発生し、又は発生したおそれがある個人データの項目:
当社のワークスペース作成時点から本件のレポート生成時点までの従業員や取引先など当社関係者のメールアドレス(2,555人分)を含むSlackユーザー名、各ユーザーが参加するチャンネル名、その他Slackが独自に付与する識別子(ユーザーID、チャンネルIDなど)
3 原因:
上記1記載のとおり、Slack社における手続き上の誤りにより、当社のワークスペースのレポートが米国企業1社に提供されました。
4 二次被害又はそのおそれの有無及びその内容:
上記1記載のとおり、Slack社により、2022年7月27日時点で誤って開示された情報の収集は完了し、米国企業の手元に当該データが残っていないことが確認されています。
現時点までに二次被害については確認されていません。