【セキュリティ事件簿#2023-175】トヨタコネクティッド株式会社 クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて 2023年5月12日


トヨタコネクティッド株式会社(以下、弊社)が管理するデータの一部が、クラウド環境の誤設定により、公開状態となっていたことが判明しました。本件判明後、外部からのアクセスを遮断する措置を実施しておりますが、弊社が管理する全てのクラウド環境を含めた調査を継続して実施しており、本日時点で判明している事案につき、お知らせさせていただきます。
お客様ならびに関係の皆さまには大変なご迷惑、ご心配をおかけすることを、お詫び申し上げます。

本日時点で把握している事案は以下のとおりです。

外部より閲覧された可能性があるお客様情報車載端末ID*1、車台番号*2、車両の位置情報、時刻
対象となるお客様2012年1月2日〜2023年4月17日の期間内にT-Connect/G-Link/G-Link Lite/G-BOOKを契約されていた方(約215万人)
外部からアクセスできる状態にあった期間2013年11月6日~2023年4月17日

*1車載機(ナビ端末)ごとの識別番号
*2車両一台ずつに割り当てられた識別番号


外部より閲覧された可能性がある情報弊社が提供する法人向けサービスから収集されたドライブレコーダーで車外を撮影した映像
外部からアクセスできる状態にあった期間2016年11月14日~2023年4月4日
車載端末ID、車台番号、車両の位置情報、時刻が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置いたします。

このたびは、データ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えております。従業員への教育を徹底し、再発防止に取り組むと同時に、クラウド設定を監査するシステムを導入し、クラウド環境の設定調査を実施、および継続的に設定状況を監視する仕組みを構築いたします。

今回、外部より閲覧された可能性のあるお客様情報は、外部からアクセスした場合であっても、これらのデータのみでは、お客様が特定されるものではありません。本件判明後より、外部より閲覧された可能性のあるお客様情報について、ネット上での第三者による二次利用、コピーの残存有無の継続調査の際、その事実は確認されず、現在のところ、その他の二次被害も確認されておりませんが、引き続きプライバシーマーク付与事業者として、お客様の大切な個人情報やデータの取り扱いへの安全な管理の徹底、およびセキュリティ機能の強化に向け取り組んでまいります。