弥生株式会社は、当社が提供する「弥生のかんたん開業届」サービスにおいて、入力いただいた情報が漏えいした可能性があることを確認いたしました。対象のお客さまをはじめ、関係者の皆さまに多大なるご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。
現在、原因となったシステム不具合は改修を完了しており、以後、同事象は発生しておりません。今回の事象は、対象期間と対象条件(後述)において、「弥生のかんたん開業届」をご利用いただいた方に発生しました。対象数は152 ユーザーです。対象数には、ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性がある方、他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性がある方が含まれます。
対象のお客さまへは、当社カスタマーセンターから、順次ご連絡を差し上げております。お忙しい中、誠に申し訳ございませんがご対応いただけますようお願い申し上げます。
なお、当事象は不正アクセス等に起因するものではなく、「弥生のかんたん開業届」のシステム不具合により発生しました。また、当社が提供する「弥生シリーズ」をはじめとした業務ソフトウエアおよび各サービスへの影響はございません。
現時点(2024年1月26日(金) 15時)での情報は下記のとおりです。今後も新たな事実が判明した場合は、当お知らせを随時更新し情報発信を行います。
1.事象の概要
(1)発生事象とシステム対応
以下「2」に記載する対象期間かつ対象条件において、「弥生のかんたん開業届」サービス利用者のみがダウンロードできる書類データ(PDF)*にて、入力した本人とは異なる別ユーザーの情報が反映された書類データがダウンロードされ、それを閲覧できた可能性**があることがわかりました。お客さま(以下、A様)からお問い合わせをいただき、当事象を検知しました。その後、調査を行い原因を特定、システム改修は2024年1月15日(月) 16時25分に完了しております。なお、事象検知から現時点までにおいて、対象情報が不正利用された事実は確認されておりません。
*書類データ(PDF)の書類数と情報内容は、お客さまの入力内容によって異なります。詳細は「3」をご確認ください**「可能性」と記載している理由:調査の結果、対象数のうち、書類データに問題無いユーザーも含まれている可能性があることがわかりました。一方でそれ以上の特定がシステム上、難しいことも判明したため、当お知らせでは「可能性」と記載しております。今回は可能性のある方をすべて対象数とし、対応と公表をすることといたしました
2. 対象のお客さま
(1)対象サービス
「弥生のかんたん開業届」
- 個人事業主が事業を開始する際に必要な書類を作成できる無料のクラウドサービスです。サービスへのログイン後に使用することができます。
(2)対象期間と対象条件
- 2023年2月28日(火)~2024年1月15日(月)
- 「弥生のかんたん開業届」内にある書類データのダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0~2秒以内)で2人同時に*行われた場合
*「2人」のうち、1人は本人(入力した自身)の情報、もう1人は自身が入力したものとは異なる情報が閲覧できる状態であった可能性。また、 3人以上が同時に押したケースは確認しておりません
(3)対象数と件数
① 対象数は152ユーザーです。以下が含まれます。
- ご自身の情報が他ユーザー1名に閲覧された、もしくはその可能性があるユーザー
- 他ユーザー1名の情報を閲覧できてしまった、もしくはその可能性があるユーザー
② ①のうち、閲覧された/したの関係性にある可能性がある件数は79件*
*関係性にある可能性という事実までは確認できておりますが、システム上、どちらが閲覧した/されたの特定はできておりません
3. 対象情報
(1)閲覧された可能性のある情報
「弥生のかんたん開業届」からダウンロードされた書類に記載されていた項目
- 氏名、生年月日、住所、電話番号、職種、事業概要、屋号、事業開始(予定)日、従業員がいらっしゃる場合は従業員数、従業員にご家族が含まれる場合はご家族の情報(続柄、氏名、年齢、従事する仕事内容、経験年数、従事の程度、保有資格、給与/賞与の支払時期・金額)
- 以下の書類に入力された項目(入力内容によってダウンロードされる書類が異なります)
- 個人事業の開業・廃業等届出書
- 所得税の青色申告承認申請書
- 青色事業専従者給与に関する届出書
- 源泉所得税の納期の特例の承認に関する申請書
- 給与支払事務所等の開設届出書
*お客さまが入力された情報、ダウンロードされた書類の種類により、該当する情報は異なります
当サービスへのログイン時に必要となる弥生ID(メールアドレス)および各種パスワードは含まれておりません。また、クレジットカード番号やマイナンバーは当サービスの利用において取得しておらず、含まれておりません。
4. お客さまへの対応
(1)当社からお客さまへの対応
- 2024年1月25日(木)に当お知らせを公開*
- 対象となるお客さま(前述「2」)へ個別連絡を随時実施しております**
*今後も新たな事実が判明した場合は、当お知らせアナウンスを随時更新し情報発信を行います**前述1-(1)で当社へ問い合わせをいただいたA様に関連する事象については、A様が閲覧された先のB様を特定後、A様にて該当データの削除を完了いただいております。B様へも当社から個別連絡を行っております。
(2)当件においてご不安や確認事項があるお客さまへ
- 当件においてご不安を持たれた方
- 心当たりのない不審な電話、郵送物、電子メールが届くような事象が発生した方(応答や開封にご注意ください)
- そのほか、当件について確認事項等がある方
専用お問い合わせ窓口までご連絡ください。
5. 当事象の発生検知と原因、影響範囲
(1)発生検知と原因
発生検知
- 2024年1月15日(月) 9時47分、当社カスタマーセンターにて「弥生のかんたん開業届にて、書類をダウンロードした際、別ユーザーの情報が表示されている」とのメールお問い合わせを確認し、当事象を検知しました。
発生原因
- 検知後すぐに当サービスの開発委託会社とともに調査を行いました。事象の詳細としては、ダウンロードボタンを押下した際に行われるプログラムの内部処理の時刻が、同時刻(0~2秒以内)で2人同時に行われたことを起因として、当事象が起きる可能性があるというものでした。先に内部処理が完了したデータ(以下、データA)が、後に同処理が完了したデータ(以下、データB)に上書きされ、データAをダウンロードすべき対象者にデータBがダウンロードされた可能性があるという状態でした。
原因に対するシステム改修は、当事象を検知した当日中(2024年1月15日)に完了しており、以後は発生しておりません。