【セキュリティ事件簿#2024-247】東京都 受託者における個人情報の漏えいについて 2024/6/14

セレブリックス
 

デジタルサービス局と委託契約を締結している株式会社博報堂プロダクツの再委託先である株式会社セレブリックスにおいて個人情報の漏えい事故が発生しましたので、お知らせします。

関係者の方に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故概要

高齢者向けスマートフォン体験会及び相談会の運営委託事業者(株式会社博報堂プロダクツ)の再委託先(株式会社セレブリックス)が、アシスタント及びアドバイザーとして採用したTOKYOスマホサポーター(以下「スマホサポーター」という。)等のうち75名分の個人情報について、下記期間の勤務調整用フォームに登録したスマホサポーター等が一定の操作を行うと、閲覧できる状態になっていた。これは当該事業者が開設したフォームの閲覧権限設定のミスによるものである。

(1)発生期間

5月24日(金曜日)20時47分から6月12日(水曜日)15時00分頃

(2)漏えいした個人情報

株式会社セレブリックスが採用したスマホサポーター等のうち、上記期間にフォームに登録した75名分の氏名及び60名分の最寄り駅

2 経緯

(1)5月24日(金曜日)

株式会社セレブリックスが採用したスマホサポーター等が、同社が開設した勤務調整用フォームにより、スマートフォン体験会及び相談会への勤務の可否等の登録を開始した。

(2)6月12日(水曜日)15時00分頃

上記フォームに登録したスマホサポーター(1名)から、株式会社セレブリックスへ、他のスマホサポーター等の個人情報が閲覧できる状態になっている旨の連絡があった。

同社の担当者が、個人情報を閲覧できないように権限設定を変更した。

(3)6月12日(水曜日)17時00分頃

上記スマホサポーターから、東京都が委託するスマホサポーター制度運営事務局(TOPPAN株式会社)へ同様の内容の連絡があった。

(4)6月13日(木曜日)11時00分頃

スマホサポーター制度運営事務局から都へ(3)の報告があり、事故が判明した。

3 発生原因

本来、勤務調整用フォームから登録された個人情報の閲覧権限は株式会社セレブリックスの担当者にのみ設定されるべきであったが、フォームに登録したすべてのスマホサポーター等に閲覧権限が誤って設定されていた。

4 事故発生後の対応

個人情報が漏えいした75名に都職員が電話で連絡し、経緯の説明と謝罪を行った。連絡のつかなかった方には、メールで経緯の説明と謝罪を行うとともに、継続して電話で連絡をしている。

現時点で、二次被害等の報告は受けていない。

5 再発防止策

株式会社博報堂プロダクツ及び株式会社セレブリックスに対し、厳重に注意を行いました。

今後、両社に対して、個人情報の取扱いに関する再点検の実施、業務遂行におけるダブルチェックの徹底、関係職員への教育指導を徹底し、再発防止を図ってまいります。

デジタルサービス局内において、委託業務に係る個人情報の適切な管理について、改めて注意喚起を行いました。

リリース文アーカイブ