2024年6月25日よりご報告させていただいておりました、当社グループが運営するオーディションにおける個人情報流出があった事案(※)につきまして、漏えい対象者の皆様をはじめ、ファンの皆様、関係者の皆様には大変なご迷惑、ご心配をおかけすることを心より深くお詫び申し上げます。
本事案における原因と影響範囲の特定に向けて、当社および外部機関によるログ情報の調査・分析、社内関係者へのヒアリングなどの詳細調査を実施しておりましたが、この度、調査及び精査が完了いたしましたので、当該調査結果及び再発防止に向けた取り組みについてご報告いたします。
1. 調査結果
・原因の特定について
本事案の経緯としまして、まず対象のオーディションにおけるGoogle Formsの編集用URLの閲覧範囲が「このリンクを知っているインターネット上の全員が閲覧できます」と設定されていたことから、この編集用URLのリンクを知っていれば、誰でも、編集用URLにアクセスし、上記個人情報を閲覧できる状態でありました。
ただし、オーディション応募フォーム上に掲載されているURL(回答用URL)と、回答内容が確認できるURL(編集用URL)は別のものとなっており、オーディションページに掲載されているURLは回答用URLであったこと、さらには回答用URLから編集用URLを容易に推察できるものでなかったことから、個人情報を閲覧できるURLがオーディションページ上で一般公開されていたわけではありませんでした。
しかしながら、該当のフォームにて閲覧・回答を行ったユーザが、自身のGoogleアカウントのGoogleアプリからフォームに移動した際に、「最近使用したフォーム」の欄に回答したフォームが表示され、そこから申込者の情報が閲覧可能な画面に遷移が可能となっておりました。
なお、本事案に関して外部機関による調査を依頼した結果、外部からの意図しないアクセスが発生した2024年6月4日 当時には、Google Formsの予告・通知のない仕様変更により、回答用URL から編集用URL を特定可能となる手法が存在していた可能性が高いことが判明いたしました。
この事象については2024年6月4日前後から発生したと推定され、2024年6月26日時点では既に再現ができなくなっていたことも確認されました。
以上の経緯から、2024年6月4日から該当フォームの閲覧制限を行った2024年6月25日の期間において、当社が意図していない外部の第三者が閲覧できる状況であったことがわかりました。
・影響範囲の確認について
本件を受け、当該インシデントと類似したケースを想定し、当社グループ内のGoogleドキュメント全般について、外部の第三者からの意図しないアクセス(漏えいの可能性)がないか、外部機関によるアクセスログの調査も実施いたしました。
その結果、第三者からの意図しないアクセスが確認されるのは、既に皆様にお知らせした以下の4つのGoogle Formsのみであることが確認されました。
「ぶいすぽっ!JP オーディション」
「Brave group総合オーディション」(グローバル向けの「Brave group総合オーディション」を含む)
「HareVare VLiverオーディション」
「ぶいすぽっ!切り抜き動画」のチャンネル許諾申請用Google Forms
具体的には、
①漏洩開始したと考えられる6月4日~6月25日において外部からのアクセス数が多いファイル
②2024年6月中の外部からのアクセスの割合が高いファイル
③1日当たりのアクセスログが異常値としてみなされるファイル
以上3つの観点から外部調査を行ったところ、オーディションフォームの他に5つのファイルが該当いたしましたが、いずれも外部からのアクセスは、当社が社内ルールに従ってリンクを共有した外部ユーザーのものと推定できるものであり、意図しない不正なアクセスはなかったことを確認いたしました。
2. 対策・対処
本事案については、既に以下の施策を実施しております。
当社グループ内全てのGoogle Workspaceにおいて、作成されたGoogle Formsを洗い出し、権限を「制限付き」(当社のドメインによるアクセス又は当社の許可がなければアクセスできない)に変更。
3.再発防止
今後の再発防止策として、①ファイル共有設定・権限の見直しによる制御、②個人情報の取り扱いに関するルールの整備・及び運用、③個人情報が含まれる情報取得時のアンケートツールの検討を行って参ります。
なお、再発防止策は2024年9月を目途に完了する予定です。
①ファイル共有設定・権限の見直しによる制御
Google Formsを含む全てのGoogle Workspaceサービスについて、「リンクを知っている全員への共有」等、アクセス制限がない公開設定を無効化することにより外部共有の制御を実施いたします。
②個人情報の取り扱いルールの整備・運用
個人情報に関する管理体制の強化、規程やルール等の見直し及び社内への周知を徹底して行い、個人情報を含めた情報管理に関する役員及び全従業員の意識の向上に取り組んでまいります。
③オーディション等の個人情報が含まれるアンケートにおける外部サービス利用の検討
個人情報を含む情報を取得するアンケートにおいては、Google Formsではない、メンバーを限定した利用が可能な外部サービスの利用を検討してまいります。
4.オーディションの再開について
本事案後、一時閉鎖の対応を取らせていただいているオーディションにつきまして、順次再開してまいります。
外部サービスの導入以前におきましては、まずはご応募時に入力いただく情報から「ご本名」「お電話番号」等といった個人情報の取得を制限し、当社でご用意した独自フォームにてご応募を受け付けて参ります。
当社といたしましては今回の事態を重く受け止め、今後このような事態が発生しないよう、再発防止に向けて個人情報の管理強化及び徹底に努め、信頼回復に全力を尽くしてまいります。この度は、多大なるご迷惑とご心配をおかけいたしましたこと、改めて心より深くお詫び申し上げます。
【2024年6月25日リリース分】