【セキュリティ事件簿#2024-276】株式会社アットリーフ 個人情報が閲覧できる状態であったことに関するお詫び 2024/5/23

アットリーフ
 

弊社が提供する「寮助」(学生寮向け欠食・外泊・点呼システム)におきまして、プログラム設計および設定の不備により、個人情報が閲覧できる状態であったことを深くお詫び申し上げます。内容および対応につきましては以下の通りです。

1. 概要

弊社が提供している「寮助」(欠食・外泊・点呼システム)において、一部のWEBページが認証なく閲覧できる状態となっておりました。閲覧できる状態であった期間および情報は以下となります。

【閲覧できる状態であった期間】

2015年9月~2024年4月(システムの導入時期により異なります。)

【閲覧できる状態であった情報】

氏名、学年、学科、クラス、寮棟名、部屋番号、点呼時間(一部の学校のみ)

2. 原因

当該WEBページはサイネージのように運用することを想定して設計していたため、WEBページを自動更新させる目的で認証機能を実装しなかったことが本件の原因となります。

3. 対応状況

2024年4月26日に「寮助」を導入いただいている学校からご指摘を受け、同日のうちに当該WEBページを閉鎖いたしました。その後、5月2日までに全ての「寮助」の機能 を完全停止いたしました。また、現在は当該WEBページへの認証機能の実装、管理者ページへのIPアドレス制限等の対応を進めております。

4. 再発防止のための対応

弊社は、今回の事態を厳粛に受け止め、今後このような事態が生じないよう、全社員に対して個人情報保護の重要性等についての教育を徹底するとともに、システム開発にあたっては、複数のシステム担当者によるチェック、さらにシステム開発部門以外の担当者による複層的なチェックを行う等、システム開発における個人情報の管理を強化し、再発防止に努めてまいります。

リリース文アーカイブ