【セキュリティ事件簿#2023-380】株式会社Hajimari 当社情報の漏洩に関するご報告とお詫び 2023/09/08


日頃、ご愛顧賜りまして誠にありがとうございます。

このたび、弊社サービス「ITプロパートナーズ」において、システムの不具合により、一部のサービス利用企業様の承認者様メールアドレスが 弊社「ITプロパートナーズ」ご利用中の稼働者様宛に送付されてしまう事象が発生し、個人情報の一部が漏洩してしまっていたことが判明いたしました。

弊社サービスをご利用いただいている方々をはじめ、関係者の皆様には多大なご迷惑およびご心配をお掛けいたしましたことを深くお詫び申し上げます。
弊社では、今回の事態を重く受け止め、より一層の管理体制の強化に努めてまいります。

また、プライバシーマークを取得している弊社としましては各関係機関への報告が完了しております。

皆様には重ねてお詫び申し上げますとともに、本件に関する概要等につきまして、下記の通りご報告いたします。

1.本件の概要等

2023年9月1日(金)16時26分、「ITプロパートナーズ」をご利用中の企業様からのご指摘により、稼働者様宛のメールのCCに承認者様のメールアドレスが含まれていたことが発覚いたしました。

翌営業日より弊社エンジニアチームが調査を行ったところ、稼働者様向けに送付されるメールのCCに企業側承認者のメールアドレスが含まれる実装になっており、2023年2月1日(水)〜2023年9月4日(月)に送付されたメール総数890件/稼働者様メールアドレス638件/承認者様メールアドレス679件が影響範囲であることが特定されました。

事象の原因については、弊社サービスユーザー向けシステム「Hajimari Works」の不具合によるものと特定されました。

2.対象となる個人情報の内容

今回の対象となる主な個人情報の項目は以下です。
・「ITプロパートナーズ」利用企業様の承認者様メールアドレス
・「ITプロパートナーズ」経由での稼働者様のメールアドレス

3.今後の対応

<お客様への対応>
影響範囲内の稼働者様・企業様双方には、9月5日(火)、メールにてお詫びと事象のご説明をさせていただいております。
<個人情報保護委員会への報告>
また、プライバシーマークを取得している弊社としましては各関係機関への報告が完了しております。

4.再発防止策

稼働者向けのメール送信時にCCを入れない形に実装を修正完了いたしました。
また、今後以下の対策も実施を予定しております。
・メール送信機能の宛先の見直し(対応時期目安:9月末)
・受け入れテストの体制再構築(対応時期目安:9月末)
・重要機能に対してのテストコードの導入(対応時期目安:11月末)
・外部企業によるセキュリティテストの実施の検討(対応時期目安:12月末)