このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。
お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。
1. 本件の概要
本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。
当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。
2. 漏えいした個人データの項目と対象データに係る本人の数
個人データの項目:
氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書(マイナンバーカード、運転免許証、パスポート等)、履歴書等の画像
対象データに係る本人の数:
162,830人(うち、第三者によるダウンロードが確認されたものは、154,650人)
なお、本件で漏えいした情報は、弊社と直接契約しているお客様環境のものです。OEM契約又は再使用権許諾契約に基づくお客様に関しては、別環境であるため、対象ではありません。
3. 期間
(1)ダウンロードが確認された期間 2023年12月28日から2023年12月29日
(2)閲覧が可能であった期間 2020年1月5日から2024年3月22日
4. 原因
サーバーのアクセス権限設定の誤りによるものです。
5. 経緯
2024年3月22日、セキュリティ調査を実施していたところ、サーバーのアクセス権限の誤設定が報告され、同日、直ちに是正いたしました。その後の調査の結果、2024年3月28日、上記期間において第三者によるダウンロードが確認されました。
6. 二次被害又はそのおそれの有無及びその内容
引き続き調査中ですが、現時点において二次被害が生じた事実は確認されておりません。
7. 現在の状況
点検を実施し、ストレージ上のファイルについて適切なアクセス権限設定への修正が完了しており、現在は外部からの閲覧が可能な状態にはございません。
また、情報が漏えいした事業者の皆さまに対して、個別にご連絡をさせていただいております。
8. 再発防止策
このたびの事態を厳粛に受け止め、従業員への教育を徹底するとともに、継続的にサーバーの設定状況を監視する仕組みを構築する等、再発防止を図ってまいります。