拝啓 平素別格のお引き立てを賜り、厚く御礼申し上げます。
この度、当連盟が会員情報の管理を委託しているしゅくみねっと株式会社(〒153-0064 東京都目黒区下目黒 2 丁目 19 番 6 号 F&T ビル 3 階。以下「しゅくみねっと社」といいます。)が提供する会員管理システム(以下「本システム」といいます。)の管理者向け検索機能の不具合により、特定の条件下において、当連盟が管轄する各団体又は連盟が、自らの管理下にない会員の情報を閲覧できてしまう事象が発覚しました。
このような事態を招いたことを深くお詫び申し上げますとともに、本不具合は発覚後ただちに修正が完了していること、及び、現時点において本件に関わる個人情報の当連盟管轄外の組織への流出は確認されていないことをご報告させていただきます。
ご利用の会員の皆さまをはじめ、関係者の皆さまには、多大なご迷惑とご心配をおかけしますことを深くお詫び申し上げます。
つきましては、本事象につきまして、下記のとおりご報告させていただきます。
- 発生事象と漏えいしたおそれのある個人データの項目
本システム内の各管理団体(加盟団体、地域連盟、クラブ)の管理者向け画面に設けられた「会員管理」機能において、日付けを用いた検索を実施する際、ポップアップ表示されるカレンダーで選択できる「yyyy/mm/dd」 以外の値を入力して検索すると、全ての会員情報(110,807 件(退会者含む))が閲覧できる状態となっていた。また、同画面の CSV ファイルによるダウンロード機能を利用することで、一部の会員データがダウンロー ドできる状態となっていた。
これにより、漏えいしたおそれのある個人データの項目は以下のとおりです。なお、クレジットカード情報等の信用情報は含まれておりません。
【一覧画面の表示項目】
会員番号/氏名/所属組織(所属地域連盟/所属クラブ・団体)/会員区分/会員状況
※ 一覧画面表示対象者には、個別での案内を順次通知させていただいております。
【CSV ファイルの表示項目】
氏名/生年月日/性別/郵便番号/住所/電話番号/メールアドレス/所属加盟団体・地域連盟・所属クラブ・団体/会員状況/会員番号/登録競技名/ - 調査状況
本システムがリリースされた 2019 年 8 月 1 日から 2022 年 9 月 7 日までの間のシステムログを調査し、過去に同様の条件で検索/CSV ダウンロードを行ったことのある管理者を特定する調査を実施した結果、以下の事実が判明しました。
・同様の検索条件で検索をしていた管理者:2 団体の管理者
・検索後に CSV ダウンロードを行っていた管理者:1団体の管理者
※ CSV ダウンロードファイル内の会員情報は 223 件であったことを確認しております。
上記 3 団体の管理者には直接事実関係を確認・調査し、閲覧したデータやダウンロードしたファイルを現在まで保管し、又は外部へ提供・流出していない旨を確認しています。 - 発生原因と再発防止策
本システム内の会員検索機能における検索条件の入力値にエラーがあった場合、本来であれば管理配下の会員のみを表示対象としたうえでエラーメッセージを出すという処理をすべきであったにもかかわらず、本システムのプログラムに誤りがあり、無条件での検索を行う旨のプログラムが設定されてしまっていた。
本事案の発覚後、入力値にエラーが発生した場合、管理配下の会員のみを表示対象とする修正を講じ、また全画面において同様の事象が発生する可能性がないかの再チェックを実施しています。 - 二次被害又はそのおそれの有無及びその内容
現時点では、二次被害及び有無は確認できていません。