【セキュリティ事件簿#2024-324】東京都の委託事業における個人情報の事故について 2024/7/5


産業労働局が実施する「次世代アントレプレナー育成プログラム」事業について、委託契約を締結しているNPO法人ETIC.の再委託先であるフロッグウェル株式会社において個人情報に関わる事故が発生しましたので、お知らせします。

関係者の皆様に多大なご迷惑をおかけし、深くお詫び申し上げます。

今後、再発防止に向け、より一層の情報管理を徹底してまいります。

1 事故の概要

委託事業者がイベントを行った際の申込時の個人情報が掲載されたホームページ等に、一時外部からアクセス可能な状態となっていた。

(1)判明時期

令和6年7月1日(月曜日)午前11時50分(委託事業者から報告を受けた時間)

(2)外部からアクセス可能な状態となっていた個人情報

イベント申込者延べ504名分の以下情報

氏名、性別、生年月日、属性、所属(学校名・会社名等)、電話番号、メールアドレス(以下、記載任意)現在のステージ、活動をスタートしたタイミング、本講座の参加動機、本講座に期待すること、事前の質問事項

2 経緯

  • 令和6年6月30日(日曜日)、委託事業者が運営するホームページにあるプライバシーポリシーにイベント申込者から「特定の方法で私の氏名で検索するとログインしていないのに、個人情報が表示される」旨の申し出がメールで届いた。

  • 委託事業者がシステムを確認したところ、再委託事業者の設定ミスにより、5月14日(火曜日)以降、特定の方法で外部からアクセスできる状態であることが判明した。※ログの解析の結果、申出者以外のアクセスは確認されておらず、二次被害は確認されていない。

  • 7月1日(月曜日)以降、データベースへの外部からのアクセスを遮断するとともに、個人情報の掲載がないことの確認等を行い、現時点で個人情報は見られない状態になっている。

3 対応

  • 当該情報のすべてについて、外部アクセスできない状態に変更する等の対応を実施

  • 申出者に対し、メールにて、経緯の説明及びお詫びを連絡

  • 外部から情報が見られる可能性のあったイベント申込者に対し、メールにて、経緯の説明及びお詫びを連絡

4 再発防止策

  • NPO法人ETIC.及びフロッグウェル株式会社に厳重に注意を行うとともに、原因の詳細究明及び再発防止策の作成を指示した。

  • 産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。

リリース文アーカイブ