2023/07/16

【セキュリティ事件簿#2023-175】トヨタ自動車株式会社 クラウド設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて 2023年05月31日


5月12日に公表させていただきました(「クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて」)の件、その後、トヨタコネクティッド株式会社(以下、TC)が管理する全てのクラウド環境を含めた調査を実施したところ、お客様情報を含むデータの一部が、外部からアクセスできる状態にあったことが判明したため、本日時点で判明している事案につき、お知らせいたします。

本件も、データ取扱いのルール説明・徹底が不十分だったことなどが主な原因であったと考えており、前回の公表以降、クラウド設定を監視するシステムの導入を完了しました。現在、全クラウド環境の設定調査、および継続的に設定状況を監視する仕組みが稼働しております。また、データ取扱いのルール説明・徹底について、再度TCと密接に連携して実施するとともに、従業員への教育を徹底することで再発防止に取り組んでまいります。お客様ならびに関係の皆さまには大変なご迷惑、ご心配をおかけすることを、お詫び申し上げます。

今回の件につきましても、ネット上での第三者による二次利用、コピーの残存有無の継続調査の際、その事実は確認されず、現在のところ、その他の二次被害も確認されておりません。 (また、本事案では車両位置情報やクレジットカード情報等は含まれておりません)

今回の事案は以下の通りです。

1.国内向けサービスについての事案
  • 車載ナビに地図データを配信するシステムにおいて、配信データ作成処理の際に使用していた車載端末ID(車載機(ナビ端末)ごとの識別番号)及び更新用地図データとその作成年月が外部からアクセスできる状態にあったことが判明いたしました。(該当システムを用いたサービスはすでに終了しております)
  • 外部よりアクセスされた場合であっても、これらのデータのみでお客様が特定されるものではありません。また、これらのデータを用いて車両にアクセスしたり、車両に何らかの影響を与えたりすることはできません。
外部よりアクセスされた可能性があるお客様情報車載端末ID、更新用地図データ、更新用地図データ作成年月
(地図情報及びその作成年月であって、位置情報ではありません。)
対象となるお客様
  • G-BOOK mX、G-BOOK mX Pro対応ナビで、G-BOOKにご契約いただいたお客様
  • G-Link/G-Link Liteにご契約いただいた一部のお客様*1のうち、2015年2月9日~2022年3月31日の間に、マップオンデマンドの通信による更新を行ったお客様
合計 約26万人
*1 対象となる車両
車種発売期間
LS2009年10月~2014年9月
GS2009年9月~2014年8月
HS2009年7月~2015年7月
IS2009年7月~2013年8月
IS F2007年12月~2014年5月
IS C2009年5月~2014年7月
LFA2010年12月~2012年12月
SC2009年8月~2010年7月
CT2011年1月~2013年12月
RX2009年1月~2015年9月
クラウド環境が外部からアクセスできる状態にあった期間2015年2月9日~2023年5月12日
上記のお客様情報は、地図データの配信後、原則として短時間でクラウド環境より自動削除される仕様となっており、上記期間に継続して保管・蓄積していたものではありません。

上記のお客様情報が漏洩した可能性のあるお客様には、ご登録いただいているメールアドレス宛に、本日より、お詫びとお知らせを個別にお送りさせていただきます。加えて、お客様からのご質問やご不安などにお答えするための専用のコールセンターを設置いたします。

2.海外向けサービスについての事案
  • 海外販売店向けシステム調査のために、TCがクラウド環境で管理しているファイルの一部が、誤設定により、外部からアクセスできる状態にあったことが判明いたしました。本件判明後、外部からのアクセスを遮断する措置を実施しております。
外部よりアクセスされた可能性があるお客様情報住所、氏名、電話番号、メールアドレス、顧客ID、車両登録ナンバー、車台番号
対象のお客様に対し、上記すべての情報ではなく、問い合わせファイルにより、上記の一部が含まれております。
対象となる地域アジア、オセアニア(日本は含まれておりません)
クラウド環境が外部からアクセスできる状態にあった期間2016年10月~2023年5月

各国の個人情報保護法及び関連法に従い、各国で対応を進めてまいります。