【セキュリティ事件簿#2023-499】株式会社エイチーム 個人情報漏えいの可能性に関するご報告とお詫び


当社グループが利用するクラウドサービス上で作成した個人情報を含むファイルがインターネット上で閲覧可能な状態にあったことが判明し、2023年12月7日に「個人情報漏えいの可能性に関するお知らせ(以下、既報)」を公表いたしました。この度、本事案に関して調査及び精査が完了いたしましたので、当該調査結果及び再発防止に向けた取り組みについてご報告いたします。

なお、既報の通り、本事案の判明後にクラウドサービス上のファイルへのアクセス制限を実施し、個人情報を閲覧できる状態は解消しております。お客様ならびに関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。

概要

当社グループで利用しているクラウドサービス「Googleドライブ」で管理する一部のファイルにおいて、個人情報がインターネット上で閲覧可能な状態にあったことが2023年11月21日に判明いたしました。当該ファイルの閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、端末識別番号・顧客管理番号・メールアドレス・氏名などを含む個人情報がインターネット上において閲覧できる状態でありました。要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。

発覚の経緯は、グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートにより、リスクのあるファイルとして検知されたことによります。

1.個人情報漏えいの可能性がある対象者

① サービスご利用のお客様

■ 当社グループで運営するサービス・アプリを過去にご利用いただいたことのある一部のお客様

② 取引先企業・法人のお客様

■ 当社グループとご契約・お取引があった一部の取引先企業・法人のお客様
■ 当社グループの担当者とメール等の対応があった一部の法人のお客様

③ 採用候補者

■ 過去に当社グループの採用選考に応募いただいた一部の新卒採用及び中途採用の採用候補者
■ 当社グループのインターンシップに参加した一部の学生

④ 当社グループ従業員

■ 当社グループに在籍している従業員(退職者含む)

2.漏えいした可能性のある情報
詳細の調査及び精査の上、判明した個人情報の漏えいの可能性がある情報は以下の通りです。

■ 個人情報を含むファイル数:1,369件
■ 対象となる人数:935,779人
 ※対象となる人数はユニーク数でカウントしております

■個人情報の漏えいの可能性がある人数
個人情報の漏えいの可能性がある人数は以下の通りです。


※ 個人情報保護委員会に報告書を提出した対象企業を記載しております
※ 「④当社グループ従業員」の人数の内訳の記載は省略しております

■漏えいした可能性がある項目
漏えいした可能性がある主な項目は以下の通りです。なお、要配慮個人情報や財産的被害が発生するおそれがある個人データは含まれておりません。


※ 個人情報保護委員会に報告書を提出した対象企業を記載しております
※ 対象ファイルによって記載項目が異なります

3.インターネット上で個人情報の閲覧が可能となっていた期間

2017年3月~2023年11月22日まで
※ 対象ファイルを調査した結果、ファイル作成日が最も古かった時期を閲覧可能期間として記載しております
※ 各ファイルの作成日により、閲覧可能期間は異なります

4.経緯

グループ全体で導入を検討しているセキュリティ製品の精度を検証したレポートにより、リスクのあるファイルとして検知されたことで本事案が発覚しました。当社グループで利用しているクラウドサービス「Googleドライブ」で管理するファイルを調査したところ、個人情報を含む一部のファイルがインターネット上で閲覧可能な状態にあったことが2023年 11月21日に判明いたしました。

本事案が判明後の2023年11月22日にクラウドサービス上のファイルへのアクセス制限を実施し、個人情報を閲覧できる状態は解消した上で詳細の調査及び精査を開始しました。
本事案が発覚した後、速やかに個人情報保護委員会に速報を提出し、調査状況のご報告といたしまして2023年12月7日に当社コーポレートサイトに「個人情報漏えいの可能性に関するお知らせ」を掲載しました。

グループ全体で詳細の調査及び精査が完了しましたので、2023年12月20日に個人情報保護委員会に確報を提出しました。

5.原因

当社グループで利用しているクラウドサービス「Googleドライブ」を利用して作成した個人情報を含む一部のファイルに対して、閲覧範囲の公開設定を「このリンクを知っているインターネット上の全員が閲覧できます」としており、閲覧範囲の設定が適切に行えていなかったことによるものです。

6.対象者の皆様への連絡について

個人情報が漏えいした可能性のある方で、ご連絡先が把握できた皆様には、本事案の調査及び精査が完了した2023年12月20日より順次、個別に電子メール等により本事案のご報告とお詫びのご連絡をさせていただいております。

また、当社グループ各社でのコーポレートサイトでも本事案についてお知らせを掲載しております。個人情報の漏えいの可能性に関連する皆様に向け、本事案のお問い合わせ窓口を設置し、本記事の末尾に記載しております。

7.二次被害の有無とその可能性について

本事案に関し、ご報告の現時点においては不正使用などの被害が発生した事実は確認されておりません。

情報の対象となった皆様には大変ご迷惑をおかけしますが、不審な問い合わせについては十分ご注意いただきますようお願い申し上げます。当社では、被害の拡大防止に取り組んでまいりますが、万が一、第三者の悪用を確認した場合は、末尾のお問い合わせ窓口へ連絡をお願い申し上げます。

8.再発防止策

今後の再発防止策として、①セキュリティツールによる監視強化、②ファイル共有設定・権限の見直しによる制御、③個人情報の取り扱いに関する役員及び全従業員の意識向上に取り組んでまいります。

①セキュリティツールによる監視強化

セキュリティツールを活用した監視の強化を図り、情報システム部門による厳格な管理によって情報漏えいのリスクを抑えます。

②ファイル共有設定・権限の見直しによる制御

「Googleドライブ」をはじめとしたファイル管理・共有を行うクラウドサービスにおいて、アクセス範囲設定を見直し、アクセス制限がない公開設定を無効化することにより外部共有の制御を実施しました。

③個人情報の取り扱いに関する役員及び全従業員の意識向上

個人情報に関する管理体制の強化、規程やルール等の見直し及び社内への周知徹底を行い、個人情報を含めた情報管理に関する意識の向上を図ります。また、役員及び全従業員の意識向上に向け、第三者である外部講師を招いた研修を実施予定です。

今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化・徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしますこと、心より深くお詫び申し上げます。