2023/11/28

【セキュリティ事件簿#2023-430】株式会社マイナビ 応募者管理ツールにおける個人情報漏洩に関するお詫び


当社が運営する就職情報サイト「マイナビ」に付随する、応募者管理システム「MIWS」において、企業が応募者データを取得する際に、別の企業の応募者データが取得されてしまう事象が発生しました。

対象となった企業を特定し、現在までにデータの削除を依頼し、了承をいただいております。また、不具合発生の原因となったシステムは改修を完了しており、再発防止策を講じております。

対象となった皆様には深くお詫び申し上げます。今後より一層、個人情報管理の厳格化をはかり、再発防止に向けて取り組んでまいります。

<概要>

【発生期間】

2022年2月17日~2023年9月13日

【対象となった方】

就職情報サイト「マイナビ2023」「マイナビ2024」「マイナビ2025」にご登録いただいた方のうち、当該サイト上で企業へ応募をされた一部の方 計1,662名
※対象となった方には、ご登録いただいたメールアドレス宛に個別でご案内をしております。

【対象となった企業】

本来は取得できないデータが取得できた企業 計15社

【個人情報の項目】

氏名、メールアドレス、住所、電話番号、所属学校、他
※企業が取得時に指定したデータ形式によって、個人情報の項目が異なります。

【原因】

企業が応募者データを応募者管理システムからCSV形式でダウンロードする際に、テンポラリデータ(処理中に一時的に保存するファイル)を作成し、その後にCSVファイルを生成するという処理を行っています。この処理中にミドルウェア障害などが発生し、他社のCSV出力処理の内容が混在しました。

【対応状況】

  • 2023年8月28日(月):特定1社においてシステム障害が発覚し、調査を開始
  • 2023年9月13日(水):事故原因の特定に関する調査を完了しシステムを修正
  • 2023年10月4日(水):追加処置としてCSVファイルの作成・取得後に行われる出力前(ダウンロード直前)に対象データが要求した企業のものであることを担保する処理を厳格化
  • 2023年10月11日(水):過去全件のダウンロードファイルのログを調査し、ごく稀にシステム障害が発生していたことが判明
  • 2023年10月25日(水):個人情報が閲覧された可能性のある方に、就職情報サイト「マイナビ」にご登録いただいたメールアドレス宛に連絡
なお、本来の応募企業へは応募情報が正しく送信されております。

改めて、対象となった皆様には深くお詫び申し上げます。本件の事態を重く受け止め、今後このような事がないよう、より一層、情報管理を徹底してまいります。